![]()
#OWASP-2007. Related Link => https://www.owasp.org/index.php/Top_10_2007 A1.크로스사이트스크립팅(XSS).XSS 로 더 잘 알려진 크로스 사이트 스크립팅은 사실 HTML 인젝션의 한 부분이다. XSS 는 가장 잘 알려지고 가장 치명적인 웹 어플리케이션 보안 문제이다. XSS 취약점은 콘텐츠를 암호화나 검증하는 절차 없이 사용자가 제공하는 데이터를 어플리케이션에서 받아들이거나, 웹 브라우저로 보낼 때마다 발생한다. XSS 는 공격자가 희생자의 브라우저에 스크립트를 실행할 수 있게 허용함으로써 사용자의 세션을 가로채거나, 웹 사이트 변조, 악의적인 콘텐츠 삽입, 피싱 공격 행위를 할 수 있고, 악의적인 스크립팅을 이용해 사용자의 브라우저를 가로챌 수..
![]()
#OWASP-2010 vs OWASP-2007. vs [출처:https://www.owasp.org/index.php/Main_Page] 2010이 2007과 달라진 부분은 'A3.악성파일 실행'과 'A6.정보유출과 부적절한 에러 처리' 항목이 삭제된 점이다.또한 2010이는 'A6.보안상 잘못된 구성'과 'A10.확인되지 않은 리다이렉션과 포워드'가 새롭게 추가되었다.삭제된 카테고리는 취약점이 없어진게 아니라 다른 카테고리와 합쳐지거나 여러 항목으로 흩어져서 포함이 된 것이다.새롭게 포함된 부분은 예전에는 그다지 중요하지 않았지만 다시 중요해진 것도 있고 아닌 것도 있지만 TOP 10은 그 때 당시 웹 취약성 중에서 가장 주의해야 할 부분인 건 확실하다. 새로 추가된 'A6.보안상 잘못된 구성'은 모든..
![]()
#OWASP-2010 PART 2. A6.보안상 잘못된 구성.보안은 어플리케이션, 프레임워크, 어플리케이션 서버, 웹 서버, 데이터베이스 서버와 플랫폼에 대해 보안 구성이 정의되고 적용하기를 요구한다. 대부분이 보안을 기본적으로 탑재되지 않기 때문에 이 모든 설정은 정의되고, 구현되고, 유지되어야만 한다. 이것은 어플리케이션에서 사용되는 모든 코드 라이브러리를 포함하여 모든 소프트웨어가 최신의 상태를 유지하는 값을 포함한다. [출처:https://www.owasp.org/index.php/Main_Page] A7.안전하지 않은 암호 저장.많은 웹 어플리케이션들이 적절한 암호나 해쉬를 갖고 신용카드 번호, 주민등록번호, 그리고 인증 신뢰 정보와 같은 민감한 데이터를 적절히 보호하지 않는다. 공격자는 아이덴..
![]()
#OWASP-2010 PART 1. A1-인젝션. SQL,OS,LDAP 인젝션과 같은 인젝션 결함은 신뢰할 수 없는 데이터가 명령어나 질의어의 일부분으로써 인터프리터에 보내질 때 발생한다.공격자의 악의적인 데이터는 예기치 않은 명령 실행이나 권한 없는 데이터에 접근하도록 인터프리터를 속일 수 있다. [출처:https://www.owasp.org/index.php/Main_Page] A2.크로스 사이트 스크립팅[XSS].XSS 결함은 적절한 확인이나 제한 없이 어플리케이션이 신뢰할 수 없는 데이터를 갖고, 그것을 웹 브라우저에 보낼 때 발생한다. XSS는 공격자가 피해자의 브라우저 내에서 스크립트의 실행을 허용함으로써 사용자의 세션을 탈취하거나,웹 사이트를 변조하거나,악의적인 사이트로 사용자를 리다이렉트할..
![]()
#OWASP-2017 vs OWASP-2013. vs #OWASP TOP 10 2017에서 2013과 달라진 점. [출처:https://www.owasp.org/index.php/Main_Page] OWASP 2017 체크리스트의 최신 버전에 대해 주요 관심은 목록에 약간의 변경만 있었다는 것이다.일단 2가지 취약점이 1개의 취약점으로 통합되었다.OWASP는 Top 10에 큰 변화가 없는 목록에 2가를 더 추가했다. 물론 기술적으로는 많이 변하지는 않았다.OWASP는 또한 현재 응용 프로그램 보안에서 중요성이 결여 되어 오랜 시간 취약점을 제거했다.아마 더 현대적인 것으로 대체될 수 있다고 생각한 거 같다.OWASP 병합을 한 2013-A4 => 안전하지 않은 직접 객체 참조와 2013-A7 => 누락된..
![]()
#OWASP-2013 vs OWASP-2010. vs #OWASP TOP 10 2013에서 2010과 달라진 점. [출처:https://www.owasp.org/index.php/Main_Page] 2010년에는 3위였던 XSS[크로스 사이트 스크립팅]의 순위가 2위로 한 단계 상승했다.이 문제가 더욱 확산되었다기보다는 해당 분야에 대한 연구와 분석이 활발히 진행된 결과라고 OWASP 측은 말하고 있다. 실제로 가장 쉽게 찾을 수 있고, 흔히 취약점이므로 연구가 활발하게 이루어 질 수 밖에 없다. CSRF[크로스 사이트 요청 변조]가 5위에서 8위로 하향 조정되었다.XSS가 발생한 곳에는 거의 반드시 CSRF가 있긴하다.6년간 OWASP TOP 10의 상위에 머물러 있었기 때문에 각 조직 및 프레임 워크..
![]()
#OWASP-2013 PART 2. A6.민감 데이터 노출.많은 웹 애플리케이션들이 신용카드, 개인 식별 정보 및 인증 정보와 같은 중요한 데이터를 제대로 보호하지 않는다. 공격자는 신용카드 사기, 신분 도용 또는 다른 범죄를 수행하는 등 약하게 보호된 데이터를 훔치거나 변경할 수 있다. 중요 데이터가 저장 또는 전송 중이거나 브라우저와 교환하는 경우 특별히 주의하여야 하며, 암호화와 같은 보호조치를 취해야 한다. [출처:https://www.owasp.org/index.php/Main_Page] A7.기능 수준의 접근통제 누락.대부분의 웹 애플리케이션은 UI에 해당 기능을 보이게 하기 전에 기능 수준의 접근권한을 확인한다. 그러나, 애플리케이션은 각 기능에 접근하는 서버에 동일한 접근통제 검사를 수행한..
![]()
#OWASP-2013 PART 1. OWASP Top 10 2013이 발표되었다. 2010년 Top 10에 비해 일반적이면서도 중요한 취약점 분석 기준이 확대 적용되었으며, 얼마나 많이 퍼져있는가를 기준으로 순위가 재조정되었다.또한 2010년 Top 10의 A5:보안 설정 오류의 세부적인 설명의 모호함을 해소하고자,위협 분류 가운데 컴포넌트 보안이 새로 추가되었다는 것을 알 수 있다.OWASP Top 10 2013은 애플리케이션 보안을 전문으로 하는 7개의 기업의 8개 데이터세트를 토대로 하였다.취약점 공격 가능성,탐지 가능성,영향 평가 등이 고려되어 선정되었다.OWASP Top 10을 선정하는 가장 큰 이유는 가장 중요한 웹 애플리케이션 보안 취약점 개발자,설계자,운영자 혹은 기관들에게 주요 웹 애플리..
