2007 2010 2013 버전 이후의 owasp가 2017버전을 새로 발표했습니다.
3년마다 발표를해서 작년에 발표가 날줄 알았는데 올해 발표가 나군요..
먼저 2013버전과 차이점 입니다.
4번과 7번이 17버전의 4번으로 통합되었네요
(Insecure Direct Object References + Missing Function Level Access Control = Broken Access Control)
A7의 빈자리엔 공격 방어 취약점(Insufficient Attack Protection)이 A10엔 취약한 API(Underprotected APIs)가
신규로 들어간걸 확인할 수 있습니다.
1.Injection 인젝션
- SQL, OS, XXE, LDAP 인젝션 취약점은 신로할 수 없는 데이터가 명령이나 쿼리문의 일부분이 인터프리터로 보내질 때 발생합니다. 공격자의 악의적인 데이터는 예상하지 못하는 명령을 d실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있습니다.
2.Broken Authentication and Session Menagement 인증 및 세션관리 취약점
인증 및 세션 관리와 관련된 어플리케이션 기능이 종종 잘못 구현되어 공격자에게 취약한 암호, 키 또는 세션 토큰을 제공하여, 다른 사용자의 권한을 (일시적 또는 영구적으로) 얻도록 익스플로잇 합니다.
3.XSS(Cross Site Script) 크로스 사이트 스크립트
-XSS취약점은 어플리케이션이 적절한 유효성 검사 또는 이스케이프 처리없이 새 웹 페이지에 신뢰할 수 없는 데이터를 포함하거나 JavaScript를 생성할 수 있는 브라우저API를 사용하여 사용자가 제공한 데이터로 기존 웹 페이지를 업데이트 합니다. XSS를 사용하면 공격자가 타겟의 브라우저에서 사용자 세션을 도용하거나, 웹사이트를 변조시키거나, 악성 사이트로 리다이렉션 시킬 수 있습니다.
4.Broken Access Control 취약한 접근제어
- 인증된 사용자가 수행할 수 있는 작업에 대한 제한이 제대로 적용되지 않아서 발생합니다. 공격자는 이러한 결함을 악용하여 다른 사용자의 계정에 액세스하거나, 중요한 파일을 보고, 다른 사용자의 데이터를 수정하거나, 접근 권한을 변경하는 등 권한이 없는 기능 및 /(루트디렉터리) 또는 데이터에 접근할 수 있습니다.
5.Security Misconfiguration 보안 설정 오류
- 바람직한 보안은 어플리케이션, 프레임워크, WAS, 웹 서버, DB 서버 및 플래폼에 대해 보안 설정이 정의되고 적용되어 있어야합니다. 보안 기본 설정은 대부분 안전하기 않기 때문에, 정의, 구현 및 유지되어야 합니다. 또한 소프트웨어는 최신 버전으로 관리해야 합니다.
6.Sensitive Data Exposure 민감 데이터 노출
- 대부분의 웹 어플리케이션과 API는 금융정보, 건강정보, 개인식별정보와 같은 민감정보를 제대로 보호하지 않습니다. 공격자는 신용카드 사기, 신분 도용 또는 다른 범죄를 수행하는 취약한 데이터를 훔치거나 변경할 수 있습니다. 브라우저에서 중요 데이터를 저장 또는 전송할 때, 특별히 주의하여야 하며, 암호화와 같은 보호조치를 취해야 합니다.
7.Insufficient Attack Protection 공격 방어 취약점
- 대부분의 어플리케이션과 API는 수동 공격과 자동 공격을 모두 탐지, 방지 및 대응할 수 있는 기본 기능이 없습니다. 공격 보호는 기본 입력 유효성 검사를 훨씬 뛰어넘으며 자동 탐지, 로깅, 응답 및 익스폴로잇 시도 차단을포함하여야 합니다. 어플리케이션 소유자는 공격으로부터 보호하기 위해 패치를 신속하게 배포할 수 있어야 합니다.
8.Cross Site Request Forgery(CSRF) 크로스 사이트 요청 변조
- CSRF공격은 로그인된 피해자의 취약한 웹 어플리케이션에 피해자의 세션 쿠키와 기타 다른 인증정보를 자동으로 포함하여, 위조된 HTTP 요청이 강제로 보내도록 합니다. 예로 공격자가 취약한 어플리케이션이 피해자의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들 수 있습니다.
9.Using Components with Known Vulnerabilities 알려진 취약점이 있는 컴포넌트 사용
컴포넌트, 라이브러리, 프레임워크 및 다른 소프트웨어 모듈은 어플리케이션과 같은 권한으로 실행됩니다. 이러한 취약한 컴포넌트를 악용하여 공격하는 경우 심각한 데이터 손실이 발생하거나 서버가 장악됩니다. 알려진 취약점이 있는 구성요소를 사용하는 어플리케이션과 API는 어플리케이션을 악화시키고 다양한 공격과 영향을 줄 수 있습니다.
10.Underprotected APIs 취약한 API
- 최신 어플리케이션에는 일종의 API (SOAP/ XML, REST/ JSON, RPC, GWT 등)에 연결되는 브라우저 및 모바일 어플리케이션의 JavaScript와 같은 여러 클라이언트 어플리케이션 및 API가 포함되는 경우가 많다. 이러한 API는 대부분 보호되지 않으며 수많은 취약점을 포함합니다.
모두 다 실습해 보고싶은 욕구가 나네요 ㅎㅎ
*이 포스팅에 사용되는 OWASP TOP 10한국어 버전은 블랙팔콘 이지혜님 블로그에서 제공받으실 수 있습니다.