좋은 개발자가 되기위한 방법들

OWASP(10대 공격기법) 웹 애플리케이션 취약점

chief_sac 2021. 7. 13.
반응형

원본사이트 : https://web.archive.org/web/20191201191321/https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

 


Open Web Application Security Project는 오픈소스 웹 애플리케이션 보안 프로젝트이다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점을 발표하였습니다



 

10가지 취약점


  1. Injection :SQL Injection의 취약점은 신뢰 할 수 없는 데이터가 쿼리의 일부분으로 보내지면서 발생하는 취약점을 말한다.

  2. Broken Authentication : Session과 인증의 관리가 연관되어 있는 함수들은 정확하게 구현되어있지 않아서 위험하니 주의 해야한다고 표현하는 것이다. 따끈따끈한 세션은 좋은게아니다

  3. Sensitive Data Exposure. : 민감한 데이터는 막아라(접근제어) 즉, 데이터는 저장또는 전송중이거나 브라우저에 공유하는경우 암호화 하여 조치하여야한다.

  4. XML External Entities (XXE) : XML로 데이터(스키마)정보 탈취당할수도있다.

  5. Broken Access Control : 취약한 접근 통제 인증된 사용자가 수행할 작업에 제한을 제대로 적용해주어 어썰라이제이션을 제대로해야한다.

  6. Security Misconfiguration : 오류가 생길만한 보안체계를 만들면안된다 .예민한 정보가 포함되어있는 상세한 오류를 담는 메세지를 보내면안된다

  7. Cross-Site Scripting (XSS) : 스크립트코드를 클라이언트에서 실행할수 있게 만들거나 html태그를 직접 입력할 수 없도록 하여야한다 .

  8. Insecure Deserialization. : 안전하지 않은 역직렬화를 사용하면 안된다.

  9. Using Components with Known Vulnerabilities : 알려진 보안 취약점이있으면 보안 라이브러리같은걸 써야한다, 취약점이 알려져있는 애플리케이션, API는 악용될 위험이 있다.

  10. Insufficient Logging & Monitoring : 불충분한 로깅과 모니터링은 사고 대응의 비효율 통합또는 누락과 함께 공격자들이 시스템을 공격하고 많은 시스템을 공격할수 있게 만들수 있으니 로그데이터를 잘찍어야한다
반응형

댓글0