#OWASP-2010 PART 2.
A6.보안상 잘못된 구성.
보안은 어플리케이션, 프레임워크, 어플리케이션 서버, 웹 서버, 데이터베이스 서버와 플랫폼에 대해 보안 구성이 정의되고 적용하기를 요구한다. 대부분이 보안을 기본적으로 탑재되지 않기 때문에 이 모든 설정은 정의되고, 구현되고, 유지되어야만 한다. 이것은 어플리케이션에서 사용되는 모든 코드 라이브러리를 포함하여 모든 소프트웨어가 최신의 상태를 유지하는 값을 포함한다.
[출처:https://www.owasp.org/index.php/Main_Page]
A7.안전하지 않은 암호 저장.
많은 웹 어플리케이션들이 적절한 암호나 해쉬를 갖고 신용카드 번호, 주민등록번호, 그리고 인증 신뢰 정보와 같은 민감한 데이터를 적절히 보호하지 않는다. 공격자는
아이덴터티 도난, 신용카드 사기, 또는 다른 범죄를 저지르기
위해 그렇게 약하게 보호된 데이터를 훔치거나 조작할 지 모른다. [출처:https://www.owasp.org/index.php/Main_Page] A8.URL 접근 제한 실패. 많은 웹 어플리케이션들이 보호된 링크나 버튼을 표현하기 전에 URL 접근
권한을 확인한다. 그러나, 어플리케이션은 이 페이지들이 접근될
때마다 매번 유사한 접근 통제 확인이 필요하다. 공격자는 이 감춰진 페이지에 접근하기 위해 URL을 변조시킬 수 있다. [출처:https://www.owasp.org/index.php/Main_Page] A9.불충분한 전송 계층 보호. 어플리케이션은 종종 민감한 네트워크 트래픽의 인증, 암호화, 그리고 비밀성과 무결성을 보호하는 데 실패한다. 실패할 때에는 대체로
약한 알고리즘을 사용하거나, 만료되거나 유효하지 않은 인증서를 사용하거나 또는 그것들을 올바로 사용하지
않을 때이다. [출처:https://www.owasp.org/index.php/Main_Page] A10.검증되지 않은 리다이렉트와 포워드. 웹 어플리케이션은 종종 사용자들을 다른 페이지로 리다이렉트하거나 포워드한다. 그러나, 목적 페이지를 결정하기 위해 신뢰되지 않는 데이터를 사용한다. 적절한
확인이 없다면, 공격자는 피해자를 피싱 사이트나 악의적인 사이트로 리다이렉트 할 수 있고, 포워드를 권한 없는 페이지의 접근을 위해 사용할 수 있다.
[출처:https://www.owasp.org/index.php/Main_Page]
'#Security' 카테고리의 다른 글
| #OWASP-2007. (0) | 2018.05.31 |
|---|---|
| #OWASP-2010 vs OWASP-2007. (0) | 2018.05.31 |
| #OWASP-2010 PART 1. (0) | 2018.05.31 |
| #OWASP-2017 vs OWASP-2013. (0) | 2018.05.31 |
| #OWASP-2013 vs OWASP-2010. (0) | 2018.05.30 |
