이슈(보안)

[보안] OWASP TOP 10 웹 애플리케이션 보안 위험

변군이글루 2023. 5. 31. 22:41
반응형

OWASP TOP 10 웹 애플리케이션 보안 위험

출처-https://owasp.org/www-project-top-ten/assets/images/mapping.png

 

  • A01:2021-취약한 접근 제어(Broken Access Control)는 5위에서 한 계단 상승하여 애플리케이션의 94%가 어떤 형태로든 취약한 접근 제어를 테스트했습니다. 취약한 접근 제어에 매핑된 34개의 공통 약점 열거(CWE)는 다른 어떤 카테고리보다 애플리케이션에서 더 많이 발생했습니다.
  • A02:2021-암호화 실패(Cryptographic Failures)가 2위로 한 계단 올라갔는데, 이전에는 민감한 데이터 노출로 알려졌지만 근본 원인이라기보다는 광범위한 증상이었습니다. 여기서는 민감한 데이터 노출 또는 시스템 손상으로 이어지는 암호화와 관련된 장애에 새롭게 초점을 맞춥니다.
  • A03:2021-인젝션(Injection)이 3위로 내려갔습니다. 애플리케이션의 94%가 어떤 형태의 인젝션에 대해 테스트되었으며, 이 범주에 매핑된 33개의 CWE는 애플리케이션에서 두 번째로 많이 발생했습니다. 이번 버전에서는 크로스 사이트 스크립팅이 이 카테고리에 포함되었습니다.
  • A04:2021-안전하지 않은 설계(Insecure Design)는 설계 결함과 관련된 위험에 초점을 맞춘 2021년에 새로 추가된 카테고리입니다. 보안 업계가 진정으로 '왼쪽으로 이동'하려면 위협 모델링, 보안 설계 패턴 및 원칙, 참조 아키텍처를 더 많이 사용해야 합니다.
  • A05:2021-보안 구성 오류(Security Misconfiguration)는 이전 버전의 6위에서 한 단계 올라섰는데, 애플리케이션의 90%가 어떤 형태로든 잘못된 구성이 있는 것으로 테스트되었습니다. 고도로 구성 가능한 소프트웨어로의 전환이 늘어남에 따라 이 카테고리의 순위가 상승한 것은 놀라운 일이 아닙니다. 이전에는 XML 외부 엔티티(XXE)에 대한 범주로 분류되었던 것이 이제 이 범주에 포함되었습니다.
  • A06:2021-취약하고 오래된 구성 요소(Vulnerable and Outdated Components)는 이전에는 알려진 취약점이 있는 구성 요소 사용이라는 제목으로 커뮤니티 설문조사에서 2위를 차지했지만, 데이터 분석을 통해 상위 10위 안에 들기에 충분한 데이터를 확보했습니다. 이 카테고리는 2017년의 9위에서 한 계단 상승한 것으로, 테스트 및 위험 평가에 어려움을 겪고 있는 것으로 알려진 문제입니다. 이 카테고리는 포함된 CWE에 매핑된 공통 취약점 및 노출(CVE)이 없는 유일한 카테고리이므로 기본 익스플로잇 및 영향 가중치 5.0이 점수에 반영됩니다.
  • A07:2021-식별 및 인증 실패(Identification and Authentication Failures)는 이전에 깨진 인증에 속해 있었으며 두 번째 위치에서 아래로 내려가 이제 식별 실패와 더 관련이 있는 CWE를 포함합니다. 이 카테고리는 여전히 상위 10위권에서 빼놓을 수 없는 부분이지만, 표준화된 프레임워크의 가용성이 높아진 것이 도움이 되고 있는 것으로 보입니다.
  • A08:2021-소프트웨어 및 데이터 무결성 실패(Software and Data Integrity Failures)는 2021년에 새롭게 추가된 카테고리로, 무결성을 검증하지 않고 소프트웨어 업데이트, 중요 데이터, CI/CD 파이프라인과 관련된 가정을 하는 데 중점을 둡니다. 이 카테고리의 10가지 CWE에 매핑된 공통 취약점 및 노출/공통 취약점 점수 시스템(CVE/CVSS) 데이터의 가중치가 가장 높은 영향 중 하나입니다. 2017년의 안전하지 않은 역직렬화가 이제 이 더 큰 범주의 일부가 되었습니다.
  • A09:2021-보안 로깅 및 모니터링 실패(Security Logging and Monitoring Failures)는 이전에 불충분한 로깅 및 모니터링이었으며, 업계 설문조사(3순위)에서 추가되어 이전 10위에서 위로 올라갔습니다. 이 범주는 더 많은 유형의 장애를 포함하도록 확장되었으며, 테스트하기 어렵고 CVE/CVSS 데이터에 잘 나타나지 않습니다. 그러나 이 범주의 장애는 가시성, 인시던트 알림 및 포렌식에 직접적인 영향을 미칠 수 있습니다.
  • A10:2021-서버 측 요청 위조(Server-Side Request Forgery)는 상위 10개 커뮤니티 설문조사(1위)에서 추가되었습니다. 이 데이터는 평균 이상의 테스트 커버리지와 함께 상대적으로 낮은 발생률과 익스플로잇 및 영향 잠재력에 대한 평균 이상의 등급을 보여줍니다. 이 카테고리는 현재 데이터에는 나와 있지 않지만 보안 커뮤니티 구성원들이 중요하다고 말하는 시나리오를 나타냅니다.

 

참고URL

- OWASP Top Ten : https://owasp.org/www-project-top-ten/

- 클라우드플레어 OWASP 톱 10이란? : https://www.cloudflare.com/ko-kr/learning/security/threats/owasp-top-10/

- 2022년 OWASP 10대 취약점 총정리 가이드 : https://www.appsealing.com/kr/2022-owasp-10%EB%8C%80-%EC%B7%A8%EC%95%BD%EC%A0%90/

 

728x90
반응형