OWASP-2017 PART 1.
Related Link =>https://www.owasp.org
OWASP = Open Web Application Security Project는 조직에서 신뢰할 수 있는 애플리케이션과 API를 개발, 구매, 유지 관리할 수 있도록 지원하는 열린 커뮤니티.비영리재단인 OWASP는 상업적인 목적 or 이윤 압박이 없기 때문에 애플리케이션 보안에 대해 공정하고 효율적인 정보를 제공하고 있다. OWASP Top10은 8개의 컨설팅 회사와 3개의 제품 공급업체를 포함해 애플리케이션 보안 전문 업체의 11개 대형 데이터셋을 기반으로 작성된다. 2017년 버전은 2013년 이후 두 가지 항목이 신설되었다. 취약한 공격 방어 항목이며, 다른 하나는 취약한 API 항목이다.
OWASP Top 10 - 2017.
A1. 인젝션.
SQL,OS,XXE,LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분으로써 인터프리터로 보내질 때 발생한다.공격자의 악의적인 데이터는 예기치 않은 명령을 실행하거나 올바른 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다.
[출처:보안뉴스 제공]
A2. 인증 및 세션 관리 취약점.
인증 및 세션 관리와 관련된 애플리케이션 기능이 종종 잘못 구현되어 공격자에게 취약한 암호,키 또는 세션 토큰을 제공해 다른 사용자의 권한을 [일시적 or 영구적]얻도록 익스플로잇한다.
[출처:보안뉴스 제공]
A3.크로스 사이트스크립팅(XSS)
XSS 취약점은 애플리케이션이 올바른 유효성 검사 또는 필터링 처리 없이 새 웹 페이지에 신뢰할 수 없는 데이터를 포함하거나,자바스크립트와 HTML을 생성하는 브라우저 API를 활용한 사용자 제공 데이터로 기존 웹 페이지를 업데이트할 때 발생한다.XSS는 피해자의 브라우저에서 공격자에 의해 스크립트를 실행시켜 사용자 세션을 탈취할 수 있게 만들고, 웹 사이트를 변조시키고, 악성 사이트로 리다이렉션할 수 있도록 허용한다.
[출처:보안뉴스 제공]
A4.취약한 접근 제어.
인증된 사용자가 수행할 수 있는 작업에 대한 제한이 제대로 적용되어 있지 않는다.공격자는 이러한 결함을 악용하여 다른 사용자의 계정에 접근하거나, 중요한 파일을 보거나, 다른 사용자의 데이터를 수정하거나, 접근 권한을 변경하는 등 권한 없는 기능과 데이터에 접근할 수 있다.
[출처:보안뉴스 제공]
A5.보안 설정 오류.
잘못된 보안 설정 오류는 가장 흔하게 보이는 이슈다.취약한 기본 설정,미완성 또는 임시 설정, 개방된 클라우드 스토리지,잘못 구성된 HTTP 헤더 및 민감한 정보가 포함된 장황한 에러 메시지로 인한 결과다.모든 운영체제,프레임워크,라이브러리와 애플리케이션을 안전하게 설정해야 할 뿐만 아니라 시기 적절하게 패치 및 업그레이드를 진행해야 한다.
[출처:보안뉴스 제공]
Cf) 나머지 5개는 다음 글에..
'#Security' 카테고리의 다른 글
| SQL,SOAP. (0) | 2018.05.30 |
|---|---|
| #OWASP-2017 PART 2. (0) | 2018.05.30 |
| WAP. (0) | 2018.05.30 |
| TLS & WTLS. (0) | 2018.05.30 |
| Google Chrome Removes HTTPS Site "Safe" Mark. (0) | 2018.05.30 |
