#OWASP-2013 vs OWASP-2010.
vs
#OWASP TOP 10 2013에서 2010과 달라진 점.
[출처:https://www.owasp.org/index.php/Main_Page]
2010년에는 3위였던 XSS[크로스 사이트 스크립팅]의 순위가 2위로 한 단계 상승했다.이 문제가 더욱 확산되었다기보다는 해당 분야에 대한 연구와 분석이 활발히 진행된 결과라고 OWASP 측은 말하고 있다. 실제로 가장 쉽게 찾을 수 있고, 흔히 취약점이므로 연구가 활발하게 이루어 질 수 밖에 없다.
CSRF[크로스 사이트 요청 변조]가 5위에서 8위로 하향 조정되었다.XSS가 발생한 곳에는 거의 반드시 CSRF가 있긴하다.6년간 OWASP TOP 10의 상위에 머물러 있었기 때문에 각 조직 및 프레임 워크 개발자들의 노력의 결과로 CSRF가 줄었다고 해서 3위가 떨어졌다.
URL 접근 제한 실패 , 강제로 특정 URL로 접근하게 할 수 있는 취약점이 2010에는 7위에 있었다. 이 개념을 확장시켜 기능 수준의 접근 통제 누락으로 변경하였고, 순위가 1단계 떨어졌다. 즉 URL만이 아니라 기능 수준의 접근 통제를 모두 포함하게 되었다.
2개가 통합하여 하나의 카테고리가 된 것은 6위에 있던 불안정한 암호 저장 항목이 브라우저 측면의 민감 정보 위험과 합쳐져 민감 데이터 노출 항목이 되었으며 순위도 6위가 되었다. 즉 사용자가 제공한 민감 데이터가 애플리케이션으로 보내져서 저장된 다음 브라우저로 되돌려 보내지는 순간부터 민감한 데이터 보호를 다루게 되었다.
마지막으로 2013년에 9위로 지정된, 2010년에 6위였던 보안 설정 오류의 일부로 언급되었던 항목이나, 컴포넌트 기반의 개발이 증가하고,심화됨에 따라 알려진 취약점이 있는 컴포넌트를 사용하여 발생하는 위험이 크게 증가하였기에, 이를 하나의 고유한 카테고리로 만든 알려진 취약점이 있는 컴포넌트 사용이다.
Cf) 다음 포스팅은 OWASP Top 10 - 2010.
'#Security' 카테고리의 다른 글
| #OWASP-2010 PART 1. (0) | 2018.05.31 |
|---|---|
| #OWASP-2017 vs OWASP-2013. (0) | 2018.05.31 |
| #OWASP-2013 PART 2. (0) | 2018.05.30 |
| #OWASP-2013 PART 1. (0) | 2018.05.30 |
| SQL,SOAP. (0) | 2018.05.30 |
