Home > Àüü±â»ç

¡®.net °³¹ßÀÚ À§ÇÑ OWASP TOP 10¡¯ Çѱ۹®¼­ ¹ß°£!

ÀÔ·Â : 2012-08-06 19:15
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
º¸¾È Ä¿¹Â´ÏƼÀÎ º¸¾ÈÇÁ·ÎÁ§Æ® ¸â¹öµéÀÇ 5°³¿ù°£ °øµ¿ÀÛ¾÷ °á½Ç 


º¸¾È Ä¿¹Â´ÏƼÀÎ º¸¾ÈÇÁ·ÎÁ§Æ®¿¡¼­ ¹ø¿ªÀÛ¾÷À» °ÅÃÄ ¹ßÇ¥ÇÑ Çѱ۹®¼­ÀÇ ¿øº»ÀÚ·áÀΠ'Free Book : OWASP Top 10 for .NET developers'ÀÇ Ç¥Áö  

[º¸¾È´º½º ±Ç ÁØ]  ÃÖ±Ù º¸¾È Ä¿¹Â´ÏƼÀÎ º¸¾ÈÇÁ·ÎÁ§Æ®(¿î¿µÀÚ ´ÏÅ°, www.boanproject.com)¿¡¼­ ±¹³» À¥ °³¹ßÀÚµéÀÌ ¾Ë¾Æ¾ßÇÒ ±ÍÁßÇÑ º¸¾ÈÀڷḦ ¹ø¿ªÇÑ ÈÄ ¹ßÇ¥ÇØ È­Á¦°¡ µÇ°í ÀÖ´Ù.


¿øº» ÀÚ·á´Â ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®ÀÇ MVPÀÎ Æ®·ÎÀÌ ÇåÆ®(Troy Hunt)°¡ ÀÛ¼ºÇÑ ¡®Free Book : OWASP Top 10 for .NET developers¡¯·Î º¸¾È ÇÁ·ÎÁ§Æ® ¸â¹öµéÀÌ 5°³¿ù°£ÀÇ ¹ø¿ª ÀÛ¾÷ ³¡¿¡ Çѱ۹®¼­¸¦ ¿Ï¼º½ÃŲ °Í.


ÀÌ ÀÚ·á´Â ¾ÈÀüÇÑ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¼³°è¸¦ ÃËÁøÇϱâ À§ÇØ ¼³¸³µÈ ºñ¿µ¸® ÀÚ¼±´ÜüÀÎ OWASP(Open Web Application Security Project)¿¡¼­ ¼±Á¤ÇÑ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÀ§Çù Top 10¿¡ ´ëÇÑ ¼¼ºÎÀûÀÎ ºÐ¼®³»¿ëÀÌ ´ã°Ü ÀÖ´Ù.


ÀÌ¿Í °ü·Ã º¸¾ÈÇÁ·ÎÁ§Æ® ¿î¿µÀÚÀÎ ´ÏÅ° ¾¾´Â ¡°ÀÌ Ã¥Àº .Net °³¹ßÀÚµéÀ» À§ÇØ OWASP¿¡¼­ ¼±Á¤ÇÑ ¾Û ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÀ§Çù Top 10À» Á¤¸®ÇÏ°í, °¢ Ãë¾àÁ¡¸¶´Ù Á¤ÀÇ ¹× ¿øÀÎ, Ãë¾àÇÑ ÄÚµå¿Í ¾ÈÀüÇÑ ÄÚµå, ¹®Á¦ÇØ°á ¹æ¹ý µîÀ» ¼­¼úÇØ ÄÚµå ÀÛ¼º½Ã »ó´çÈ÷ À¯¿ëÇÒ °ÍÀ¸·Î º¸Àδ١±°í ¹àÇû´Ù.


OWASP°¡ ¼±Á¤ÇÑ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÀ§Çù TOP 10Àº Áö³­ 2010³â ¹ßÇ¥µÈ °ÍÀ¸·Î, 3³â¸¶´Ù ¹ßÇ¥µÇ±â ¶§¹®¿¡ ³»³â¿¡ »õ·Ó°Ô ¹ßÇ¥µÈ´Ù. Âü°í·Î Áö³­ 2010³â ¹ßÇ¥µÈ TOP 10Àº ´ÙÀ½°ú °°´Ù.  


1. »ðÀÔ(Injection)

SQL, OS, LDAP »ðÀÔ°ú °°Àº »ðÀÔ Ãë¾àÁ¡Àº ½Å·ÚµÇÁö ¾ÊÀº µ¥ÀÌÅÍ°¡ Ä¿¸Çµå ¶Ç´Â Äõ¸®ÀÇ ÀϺηΠÀÎÅÍÇÁ¸®ÅÍ(¸í·É¾î ¹ø¿ª±â)¿¡ ¼Û½ÅµÉ ¶§ ¹ß»ýÇÑ´Ù. °ø°ÝÀÚÀÇ ÀûÀÇ°¡ ´ã±ä µ¥ÀÌÅÍ´Â ÀÎÅÍÇÁ¸®ÅÍ°¡ ÀǵµÇÏÁö ¾ÊÀº Ä¿¸Çµå¸¦ ½ÇÇàÇϰųª ½ÂÀεÇÁö ¾ÊÀº µ¥ÀÌÅÍ¿¡ Á¢¼ÓÇϵµ·Ï ¼ÓÀÏ ¼ö ÀÖ´Ù.


2. Cross-Site Scripting(XSS)

XSS Ãë¾àÁ¡Àº ¾ÖÇø®ÄÉÀ̼ÇÀÌ ½Å·ÚÇÒ ¼ö ¾ø´Â µ¥ÀÌÅ͸¦ ¹Þ¾ÆµéÀÌ°í, ±× µ¥ÀÌÅ͸¦ ÀûÀýÇÑ °ËÁõÀ̳ª Áß´Ü ¾øÀÌ À¥ ºê¶ó¿ìÀú¿¡ º¸³¾ °æ¿ì¿¡ ¹ß»ýÇÑ´Ù. XSS´Â À¯ÀúÀÇ ¼¼¼Ç Å»Ãë, À¥»çÀÌÆ®ÀÇ º¯°æ, À¯ÇØ»çÀÌÆ®·ÎÀÇ Redirect(°­Á¦ À̵¿) µîÀ» ÇÒ ¼ö ÀÖ´Â ½ºÅ©¸³Æ®¸¦ »ç¿ëÀÚÀÇ ºê¶ó¿ìÀú¿¡¼­ ½ÇÇàÇÏ°Ô Çã¿ëÇÑ´Ù.


3. Ãë¾àÇÑ ÀÎÁõ°ú ¼¼¼Ç °ü¸®(Broken Authentication and Session Management)

°ø°ÝÀÚ°¡ Æнº¿öµå, Å°, ¼¼¼Ç ÅäÅ«À» Á¶ÀÛ °¡´ÉÇϰųª ´Ù¸¥ À¯ÀúÀÇ ½ÅºÐÀ» »çĪÇÏ°Ô ÇÏ´Â ´Ù¸¥ ½ÇÇà °áÇÔÀ» ¾Ç¿ë °¡´ÉÇÑ °æ¿ì, ÀÎÁõ°ú ¼¼¼Ç °ü¸®¿¡ °ü·ÃµÈ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ±â´ÉÀº Á¦´ë·Î ½ÃÇàµÇÁö ¾Ê´Â´Ù.


4. À߸øµÈ Á÷Á¢ÀûÀÎ °´Ã¼ÂüÁ¶(Insecure Direct Object References)

Á÷Á¢ÀûÀÎ °´Ã¼ÂüÁ¶´Â °³¹ßÀÚ°¡ ÆÄÀÏ, µð·ºÅ丮, µ¥ÀÌÅͺ£À̽º Å° µî°ú °°Àº ³»ºÎ ½ÇÇఴü¿¡ ´ëÇÑ ·¹ÆÛ·±½º¸¦ ³ëÃâ½Ãų °æ¿ì¿¡ ¹ß»ýÇÑ´Ù. Á¢±ÙÅëÁ¦ È®ÀÎÀ̳ª ´Ù¸¥ º¸È£´ëÃ¥ÀÌ ¾øÀ» °æ¿ì, °ø°ÝÀÚ´Â ½ÂÀεÇÁö ¾ÊÀº µ¥ÀÌÅÍ¿¡ Á¢¼ÓÇÏ´Â ·¹ÆÛ·±½º¸¦ Á¶ÀÛÇÒ ¼ö ÀÖ´Ù.


5. Cross-Site Request Forgery (CSRF)

CSRF °ø°ÝÀº, ·Î±×ÀÎÇÑ »ç¿ëÀÚÀÇ ºê¶ó¿ìÀú°¡ »ç¿ëÀÇ ¼¼¼Ç ÄíÅ° ¹× ÀÚµ¿À¸·Î Æ÷ÇԵǴ ´Ù¸¥ ÀÎÁõÁ¤º¸¸¦ Æ÷ÇÔÇÏ´Â Á¶ÀÛµÈ HTTP ¿äûÀ» º¸³»µµ·Ï ÇÑ´Ù. °ø°ÝÀÚ´Â ÀÌ Ãë¾àÁ¡À» ¾Ç¿ëÇؼ­ »ç¿ëÀÚÀÇ ºê¶ó¿ìÀú°¡ Ãë¾àÇÑ ¾ÖÇø®ÄÉÀ̼ÇÀÌ »ç¿ëÀڷκÎÅÍ ¼Û½ÅµÈ Á¤´çÇÑ ¿äûÀ̶ó°í »ý°¢µÇ´Â ¿äûÀ» ¸¸µé¾î³»µµ·Ï ÇÒ ¼ö ÀÖ´Ù.


6. º¸¾È¼³Á¤ ¿À·ù(Security Misconfiguration)

¹Ù¶÷Á÷ÇÑ º¸¾ÈÀº ¾ÖÇø®ÄÉÀ̼Ç, ÇÁ·¹ÀÓ¿öÅ©, ¾ÖÇø®ÄÉÀÌ¼Ç ¼­¹ö, À¥ ¼­¹ö, µ¥ÀÌÅͺ£À̽º ¼­¹ö, Ç÷§Æû µî¿¡ ´ëÇØ Á¤ÀÇµÇ°í ¹èÆ÷µÈ º¸¾È¼³Á¤À» ÇÏ´Â °ÍÀÌ ÇʼöÀûÀÌ´Ù. ¸¹Àº ¼³Á¤µéÀÌ Ã³À½ºÎÅÍ ¾ÈÀüÇÏ°Ô Á¦°øµÇÁö ¾Ê±â ¶§¹®¿¡, ÀÌ·¯ÇÑ ¼³Á¤µéÀº Á¤Àǵǰí, ½ÇÇàµÇ¸ç, À¯ÁöµÇ¾î¾ß ÇÑ´Ù. Áï, ¾ÖÇø®ÄÉÀ̼ǿ¡¼­ »ç¿ëµÇ´Â ¸ðµç ÄÚµå ¶óÀ̺귯¸®¸¦ Æ÷ÇÔÇÏ¿© ¸ðµç ¼ÒÇÁÆ®¿þ¾î¸¦ ÃÖ½ÅÀÇ »óÅ·ΠÀ¯ÁöÇÏ´Â °ÍÀ» Æ÷ÇÔÇÑ´Ù.


7. À߸øµÈ ¾ÏÈ£ ÀúÀå(Insecure Cryptographic Storage)

¸¹Àº À¥ ¾ÖÇø®ÄÉÀ̼ÇÀº ½Å¿ëÄ«µå, SSN(»çȸº¸Àå¹øÈ£: ¹Ì±¹¿¡¼­ÀÇ ¹Î°¨Á¤º¸), ÀÎÁõÁ¤º¸¿Í °°Àº ¹Î°¨ÇÑ µ¥ÀÌÅ͸¦ Á¤´çÇÑ ¾Ïȣȭ ¶Ç´Â Çؽ¬È­ ÇÏ¿© ¿Ã¹Ù¸£°Ô º¸È£ÇÏÁö ¾Ê´Â´Ù. °ø°ÝÀÚ´Â ½ÅºÐÀ§Àå, ½Å¿ëÄ«µå »ç±â³ª ±× ¿ÜÀÇ ¹üÁ˸¦ ÀúÁö¸£±â À§Çؼ­ ¾àÇÏ°Ô º¸È£µÈ µ¥ÀÌÅ͸¦ ÈÉÄ¡°Å³ª º¯°æÇÒ ¼ö ÀÖ´Ù.


8. URL Á¢¼ÓÁ¦ÇÑ ½ÇÆÐ(Failure to Restrict URL Access)

¸¹Àº À¥ ¾ÖÇø®ÄÉÀ̼ÇÀº º¸È£µÈ ¸µÅ©¿Í ¹öÆ°À» Ç¥½ÃÇϱâ Àü¿¡ URL Á¢¼Ó±ÇÇÑÀ» üũÇÑ´Ù. ±×·¯³ª ¾îÇø®ÄÉÀ̼ÇÀº ÀÌ·¯ÇÑ ÆäÀÌÁö¿¡ Á¢¼ÓµÇ°Å³ª, °ø°ÝÀÚ°¡ ¾î¶² ¹æ¹ýÀ¸·Îµç ¼û°ÜÁø ÆäÀÌÁö¿¡ Á¢¼ÓÇÏ·Á°í URLÀ» Á¶ÀÛÇÒ ¶§¸¶´Ù ºñ½ÁÇÑ Á¢¼ÓÅëÁ¦ È®ÀÎÀ» ½Ç½ÃÇÒ ÇÊ¿ä°¡ ÀÖ´Ù.


9. ºÒÃæºÐÇÑ Àü¼Û°èÃþ º¸È£(Insufficient Transport Layer Protection)

¾ÖÇø®ÄÉÀ̼ÇÀº ±â¹Ð¼ºÀ» °®Ãç¾ß ÇÏ°í, ¹Î°¨ÇÑ ³×Æ®¿öÅ© Æ®·¡ÇÈÀÇ ¹«°á¼ºÀ» ÀÎÁõÇÏ°í ¾ÏȣȭÇÏ¸ç º¸È£ÇØ¾ß ÇÑ´Ù. ±×·¯³ª ¾ÖÇø®ÄÉÀ̼ÇÀÌ Ãë¾àÇÒ °æ¿ì ¾àÇÑ ¾Ë°í¸®ÁòÀ» »ç¿ëÇϰųª ¸¸·áµÇ°Å³ª À¯È¿ÇÏÁö ¾ÊÀº ÀÎÁõÀ» »ç¿ëÇϰųª ¶Ç´Â ÀÌ·¯ÇÑ °ÍµéÀ» ¹Ù¶÷Á÷ÇÏÁö ¾Ê°Ô »ç¿ëÇÏ°Ô µÈ´Ù.


10. Àΰ¡µÇÁö ¾ÊÀº Àü¼Û(Unvalidated Redirects and Forwards)

À¥ ¾îÇø®ÄÉÀ̼ÇÀº À¯Àú¸¦ ´Ù¸¥ ÆäÀÌÁö¿Í À¥ »çÀÌÆ®·Î ¸®´ÙÀÌ·ºÆ®ÇÏ°í Æ÷¿öµùÇϸç, ¸ñÀûÁö ÆäÀÌÁö¸¦ ÆÇ´ÜÇϱâ À§ÇØ ½Å·ÚµÇÁö ¾Ê´Â µ¥ÀÌÅ͸¦ »ç¿ëÇÑ´Ù. ¿Ã¹Ù¸¥ °ËÁõÀ» ½Ç½ÃÇÏÁö ¾ÊÀ¸¸é, °ø°ÝÀÚ´Â Èñ»ýÀÚ¸¦ ÇÇ½Ì »çÀÌÆ®³ª À¯ÇØÇÑ »çÀÌÆ®·Î ¸®´ÙÀÌ·ºÆ® Çϰųª Àΰ¡µÇÁö ¾ÊÀº ÆäÀÌÁö¸¦ Á¢¼ÓÇÏ´Â Æ÷¿öµùÀ» »ç¿ëÇÒ ¼ö ÀÖ´Ù.


ÇÑÆí, ÀÌ ÇѱÛÀÚ·á´Â Çѱ¹Á¤º¸º¸È£±³À°¼¾ÅÍ È¨ÆäÀÌÁöÀÇ Áö½Ää³Î ¸Þ´º(http://www.kisec.com/knowledge_channel/kiseclab)¿¡¼­ ¹«·á·Î ´Ù¿î·Îµå ¹ÞÀ» ¼ö ÀÖ´Ù. 

[±Ç ÁØ ±âÀÚ(editor@boannews.com)]


<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)