OWASP TOP 10 2020-2021

OWASP TOP 10

• OWASP TOP 10 :: 2020-2021 ::
  1. Broken Access Control - 접근 권한 취약점
     1. 접근 제어(Access Control)은 사용자가 권한을 벗어난 행동을 할 수 없도록 정책을 만들고 실행하는 기능이다.
     2. 접근 제어가 취약하게 구현되면 사용자는 주어진 권한을 벗어나 인가되지 않은 데이터에 무단으로 접근하여 조작이나 삭제를 시도할 수 있다.
  2. Cryptographic Failures - 암호화 실패
     1. 기존에는 Sensitive Data Exposure(민감 데이터 노출)이라고 했으나, 명칭이 변경됨.
     2. 암호화에 오류가 있거나 미흡한 부분이 있는 경우에 해당 취약점 발생.
     3. 특히 개인정보와 금융데이터 같은 법과 규정에 강력하게 영향을 받는 경우라면 안전하게 보호하기 위한 추가 요구 사항을 준수해야 한다.
  3. Injection - 인젝션
     1. XSS 항목이 Injection에 포함됨.
     2. 사용자가 전달하는 데이터(파라미터, 헤더, 쿠키, URL, json 데이터, XML 등)를 신뢰할 수 없는 데이터로 조작하여, 서버 측에서 명령어나 쿼리문의 일부로 인식하는 경우.
  4. Insecure Design - 안전하지 않은 설계
     1. 새롭게 추가된 항목이다.
     2. 코드 구현 단계에 앞서 기획과 설계 단계에서 발생하는 보안 결함을 의미한다.
     3. 안전하지 않게 설계한 애플리케이션은 개발을 완료한 후에 코드를 수정해도 보안 결함을 완벽하게 방어하는 데에 한계가 존재할 수밖에 없다.
  5. Security Misconfiguration - 보안 설정 오류
     1. XXE(XML External Entity) 항목이 포함됨.
     2. 애플리케이션을 최초 설치하거나 업데이트할 때 보안성을 고려하지 않은 설정으로 인해 취약점이 발생하는 경우로, 설정과 관련된 모든 부분을 포함.
  6. Vulnerable and Outdated Components - 취약하고 지원이 종료된 구성 요소
     1. 취약한 버전 또는 <소프트웨어 기술 지원 중단> 상태인 소프트웨어를 계속 사용하는 경우를 의미하며, 그로 인해 발생할 수 있는 모든 보안 위협을 포함한다.
  7. Identification and Authentication Failures - 식별 및 인증 실패
     1. 사용자의 신원 확인과 인증 및 세션 관리에 해당하는 항목.
  8. Software and Data Integrity Failures - 소프트웨어 및 데이터 무결성 오류
     1. 애플리케이션이 신뢰할 수 없는 소스, 저장소 및 CDN, 플러그인, 라이브러리 등에 의존하는 경우에 발생한다.
     2. 안전하지 않은 CI/CD 파이프라인은 개발 및 배포 과정에서 애플리케이션이 변조되면 무결성이 훼손될 수 있기 때문에, 애플리케이션이 사용하는 코드에 대한 무결성 검증 절차를 추가해야 한다.
  9. Security Logging and Monitoring Failures - 보안 로깅 및 모니터링 오류
     1. 적절한 로깅과 모니터링이 없다면 공격을 감지하고 대응할 수가 없기 때문에, 취약점 공격 예방 뿐만 아니라 공격 발생 감지 및 대응까지 포함하는 것으로 개정되었다.
  10. Server-Side Request Forgery(SSRF) - 서버 측 요청 변조
      1. 애플리케이션이 사용자 제공 데이터를 적절한 검증 없이 로컬 및 원격 리소스를 가져와 취약점을 발생시키는 상황을 의미한다.
      2. 공격자는 SSRF 취약점이 존재하는 애플리케이션에서 서버 권한과 신뢰 관계를 이용해, 서버가 조작된 요청을 수행하도록 강제할 수 있다.