반응형
#OWASP-2010 vs OWASP-2007.
vs
[출처:https://www.owasp.org/index.php/Main_Page]
2010이 2007과 달라진 부분은 'A3.악성파일 실행'과 'A6.정보유출과 부적절한 에러 처리' 항목이 삭제된 점이다.또한 2010이는 'A6.보안상 잘못된 구성'과 'A10.확인되지 않은 리다이렉션과 포워드'가 새롭게 추가되었다.삭제된 카테고리는 취약점이 없어진게 아니라 다른 카테고리와 합쳐지거나 여러 항목으로 흩어져서 포함이 된 것이다.새롭게 포함된 부분은 예전에는 그다지 중요하지 않았지만 다시 중요해진 것도 있고 아닌 것도 있지만 TOP 10은 그 때 당시 웹 취약성 중에서 가장 주의해야 할 부분인 건 확실하다.
새로 추가된 'A6.보안상 잘못된 구성'은 모든 웹 서비스와 관련된 컴포넌트와 라이브러리에 대한 보안 패치 관리, 불필요한 모든 것에 대한 삭제와 비활성화,디폴트 계정에 대한 변경과 비활성,에러 메시지에 대한 적절한 처리,개발 프레임워크 상에서의 보안 구성 등에 대한 내용을 다루고 있다.'A10.확인되지 않은 리다이렉션과 포워드'는 모든 코드 상에서의 리다이렉션과 포워드 사용 시,허용된 방향과 컨텐츠 요소를 포함하는지에 대한 적절한 파라미터 검증이 이루어지고 있는지,HTTP 응답 코드 300에서 307 사이의 응답에 있어 제공된 파라미터가 적절한지 여부, 설계한 바와 같이 어떤 상황에도 정의된 대로 URL 리다이렉션과 포워딩이 이루어지고 있는 지에 대한 확인을 다루고 있다.
반응형
'#Security' 카테고리의 다른 글
| CVE. (0) | 2018.05.31 |
|---|---|
| #OWASP-2007. (0) | 2018.05.31 |
| #OWASP-2010 PART 2. (0) | 2018.05.31 |
| #OWASP-2010 PART 1. (0) | 2018.05.31 |
| #OWASP-2017 vs OWASP-2013. (0) | 2018.05.31 |
