#OWASP-2013 PART 2.
A6.민감 데이터 노출.
많은 웹 애플리케이션들이 신용카드, 개인 식별 정보 및 인증 정보와 같은 중요한 데이터를 제대로 보호하지 않는다. 공격자는 신용카드 사기, 신분 도용 또는 다른 범죄를 수행하는 등 약하게 보호된 데이터를 훔치거나 변경할 수 있다. 중요 데이터가 저장 또는 전송 중이거나 브라우저와 교환하는 경우 특별히 주의하여야 하며, 암호화와 같은 보호조치를 취해야 한다.
[출처:https://www.owasp.org/index.php/Main_Page]
A7.기능 수준의 접근통제 누락.
대부분의 웹 애플리케이션은 UI에 해당 기능을 보이게 하기 전에 기능 수준의 접근권한을 확인한다. 그러나, 애플리케이션은 각 기능에 접근하는 서버에 동일한 접근통제 검사를 수행한다. 요청에 대해 적절히 확인하지 않을 경우 공격자는 적절한 권한 없이 기능에 접근하기 위한 요청을 위조할 수 있다.
[출처:https://www.owasp.org/index.php/Main_Page]
CSRF 공격은 로그온 된 피해자의 취약한 웹 애플리케이션에 피해자의 세션 쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP 요청을 강제로 보내도록 하는 것이다. 이것은 공격자가 취약한 애플리케이션이 피해자로부터의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들 수 있다.
[출처:https://www.owasp.org/index.php/Main_Page]
A9.알려진 취약점이 있는 컴포넌트 사용.
컴포넌트, 라이브러리, 프레임워크 및 다른 소프트웨어 모듈은 대부분 항상 전체 권한으로 실행된다. 이러한 취약한 컴포넌트를 악용하여 공격하는 경우 심각한 데이터 손실이 발생하거나 서버가 장악된다. 알려진 취약점이 있는 컴포넌트를 사용하는 애플리케이션은 애플리케이션 방어 체계를 손상하거나, 공격 가능한 범위를 활성화하는 등의 영향을 미친다.
[출처:https://www.owasp.org/index.php/Main_Page]
A10.검증되지 않은 리다이렉트 및 포워드.
웹 애플리케이션은 종종 사용자들을 다른 페이지로 리다이렉트 하거나 포워드하고, 대상 페이지를 결정하기 위해 신뢰할 수 없는 데이터를 사용한다. 적절한 검증 절차가 없으면 공격자는 피해자를 피싱 또는 악성코드 사이트로 리다이렉트 하거나 승인되지 않은 페이지에 접근하도록 전달할 수 있다.
[출처:https://www.owasp.org/index.php/Main_Page]
'#Security' 카테고리의 다른 글
| #OWASP-2017 vs OWASP-2013. (0) | 2018.05.31 |
|---|---|
| #OWASP-2013 vs OWASP-2010. (0) | 2018.05.30 |
| #OWASP-2013 PART 1. (0) | 2018.05.30 |
| SQL,SOAP. (0) | 2018.05.30 |
| #OWASP-2017 PART 2. (0) | 2018.05.30 |
