반응형
Open Web Application Security Project는 오픈소스 웹 애플리케이션 보안 프로젝트이다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점을 발표하였습니다
10가지 취약점
- Injection :SQL Injection의 취약점은 신뢰 할 수 없는 데이터가 쿼리의 일부분으로 보내지면서 발생하는 취약점을 말한다.
- Broken Authentication : Session과 인증의 관리가 연관되어 있는 함수들은 정확하게 구현되어있지 않아서 위험하니 주의 해야한다고 표현하는 것이다. 따끈따끈한 세션은 좋은게아니다
- Sensitive Data Exposure. : 민감한 데이터는 막아라(접근제어) 즉, 데이터는 저장또는 전송중이거나 브라우저에 공유하는경우 암호화 하여 조치하여야한다.
- XML External Entities (XXE) : XML로 데이터(스키마)정보 탈취당할수도있다.
- Broken Access Control : 취약한 접근 통제 인증된 사용자가 수행할 작업에 제한을 제대로 적용해주어 어썰라이제이션을 제대로해야한다.
- Security Misconfiguration : 오류가 생길만한 보안체계를 만들면안된다 .예민한 정보가 포함되어있는 상세한 오류를 담는 메세지를 보내면안된다
- Cross-Site Scripting (XSS) : 스크립트코드를 클라이언트에서 실행할수 있게 만들거나 html태그를 직접 입력할 수 없도록 하여야한다 .
- Insecure Deserialization. : 안전하지 않은 역직렬화를 사용하면 안된다.
- Using Components with Known Vulnerabilities : 알려진 보안 취약점이있으면 보안 라이브러리같은걸 써야한다, 취약점이 알려져있는 애플리케이션, API는 악용될 위험이 있다.
- Insufficient Logging & Monitoring : 불충분한 로깅과 모니터링은 사고 대응의 비효율 통합또는 누락과 함께 공격자들이 시스템을 공격하고 많은 시스템을 공격할수 있게 만들수 있으니 로그데이터를 잘찍어야한다
반응형
'좋은 개발자가 되기위한 방법들' 카테고리의 다른 글
| VSCODE 한글 단축키 모음 (0) | 2021.08.20 |
|---|---|
| 라이브러리와 프레임워크의 개념과 필요성 (2) | 2021.07.21 |
| 구글 Captch api , Spring 프로젝트에 적용하는법 (0) | 2021.07.10 |
| API란 개념,종류(REST API, SOAP API),역사 쉽게정리 (2) | 2021.07.09 |
| Notion 한글 입력이 잘 안될때 해결법 (0) | 2021.07.08 |
