OWASP TOP10 - 2021

---

1. OWASP 란?

2. OWASP TOP 10

3. 순위 별 설명

---

1. OWASP 란?

 - OWASP(Open Web Application Security Project)는 취약점에 대해 연구를 통해 영향력 있는 취약점을 선정하고 발표하는 단체

 

2. OWASP TOP 10

[그림] 2017, 2021 OWASP TOP 10 (출처 : OWASP 공식 홈페이지)

 - 취약점 연구를 통해 다양한 취약점으로부터 악용 가능성, 탐지 가능성 및 영향력과 빈도수를 고려해 보안상 크게 영향을 끼치는 10가지 취약점을 나타내며, 3~4년에 한번 씩 정기적 업데이트를 진행함

 

3. 순위 별 설명

3.1. A01 : Broken Access Control (접근 권한 취약점)

 - 액세스 제어는 사용자가 권한을 벗어난 행동을 할 수 없도록 정책을 수행하는데, 취약점이 생긴다면 주어진 권한을 벗어나 모든 데이터를 열람하는 것이 가능

 

3.2. A02 : Cryptographic Failures (암호화 오류)

 - 민감한 데이터 노출에서 암호화 오류로 명칭이 변경되었으며, 적절한 암호가 이루어지지 않았을 때 민감한 데이터가 노출될 수 있음

 

3.3. A03 : Injection (주입)

 - SQL, NoSQL, OS명령 등을 사용한 주입 취약점은 신뢰할 수 없는 데이터가 명령어 혹은 쿼리문이 되어 서버에 보내질 때 악의적인 행동으로 나타날 수 있는 취약점

 

3.4. A04 : Insecure Design (안전하지 않은 설계)

 - 안전하지 않은 설계는 누락되거나 비효율적인 제어 설계로 표현되는 다양한 취약점을 나타냄

 

3.5. A05 : Security Misconfiguration (보안 설정 오류)

 - 어플리케이션 스택의 적절한 보안 강화가 누락되거나, 클라우드 서비스에 대한 권한이 적절하게 구성되지 않았을 때, 불필요 기능이 활성화 되거나 설치되었을 때 등의 보안 설정이 안전하지 않게 구성된 것을 나타냄

 

3.6. A06 : Vulnerable and Outdated Components (취약하고 오래된 요소)

 - 취약하고 오래된 요소는 지원이 종료되었거나 오래된 버전을 사용할 때 발생, 어플리케이션 뿐만 아니라 DBMS, API 등 모든 구성요소가 포함

 

3.7. A07 : Identification and Authentication Failures (식별 및 인증 오류)

 - 사용자의 신원 확인, 인증 및 세션 관리가 적절히 되지 않았을 때 취약점이 발생

 

3.8. A08 : Software and Data Integrity Failures (소프트웨어 및 데이터 무결성 오류)

 - 무결성을 확인하지 않고 소프트웨어의 업데이트 및 중요 데이터, 파이프라인과 관련된 가정을 하는데 중점을 두는 취약점

 

3.9. A09 : Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패)

 - 로깅 및 모니터링 없이는 공격 활동을 인지할 수 없는 취약점

 

3.10. A10 : Server-Side Request Forgery (서버 측 요청 위조)

 - 웹 어플리케이션이 사용자가 제공한 URL의 유효성을 검증하지 않고 원격 리소스를 가져올 때 발생되는 취약점,

보호되고 있음에도 응용 프로그램이 조작된 요청이 강제로 진행될 수 있음