º¸¾È Ä¿¹Â´ÏƼÀÎ º¸¾ÈÇÁ·ÎÁ§Æ®¿¡¼ ¹ø¿ªÀÛ¾÷À» °ÅÃÄ ¹ßÇ¥ÇÑ Çѱ۹®¼ÀÇ ¿øº»ÀÚ·áÀÎ 'Free Book : OWASP Top 10 for .NET developers'ÀÇ Ç¥Áö
[º¸¾È´º½º ±Ç ÁØ] ÃÖ±Ù º¸¾È Ä¿¹Â´ÏƼÀÎ º¸¾ÈÇÁ·ÎÁ§Æ®(¿î¿µÀÚ ´ÏÅ°, www.boanproject.com)¿¡¼ ±¹³» À¥ °³¹ßÀÚµéÀÌ ¾Ë¾Æ¾ßÇÒ ±ÍÁßÇÑ º¸¾ÈÀڷḦ ¹ø¿ªÇÑ ÈÄ ¹ßÇ¥ÇØ ÈÁ¦°¡ µÇ°í ÀÖ´Ù.
¿øº» ÀÚ·á´Â ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®ÀÇ MVPÀÎ Æ®·ÎÀÌ ÇåÆ®(Troy Hunt)°¡ ÀÛ¼ºÇÑ ¡®Free Book : OWASP Top 10 for .NET developers¡¯·Î º¸¾È ÇÁ·ÎÁ§Æ® ¸â¹öµéÀÌ 5°³¿ù°£ÀÇ ¹ø¿ª ÀÛ¾÷ ³¡¿¡ Çѱ۹®¼¸¦ ¿Ï¼º½ÃŲ °Í.
ÀÌ ÀÚ·á´Â ¾ÈÀüÇÑ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¼³°è¸¦ ÃËÁøÇϱâ À§ÇØ ¼³¸³µÈ ºñ¿µ¸® ÀÚ¼±´ÜüÀÎ OWASP(Open Web Application Security Project)¿¡¼ ¼±Á¤ÇÑ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÀ§Çù Top 10¿¡ ´ëÇÑ ¼¼ºÎÀûÀÎ ºÐ¼®³»¿ëÀÌ ´ã°Ü ÀÖ´Ù.
ÀÌ¿Í °ü·Ã º¸¾ÈÇÁ·ÎÁ§Æ® ¿î¿µÀÚÀÎ ´ÏÅ° ¾¾´Â ¡°ÀÌ Ã¥Àº .Net °³¹ßÀÚµéÀ» À§ÇØ OWASP¿¡¼ ¼±Á¤ÇÑ ¾Û ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÀ§Çù Top 10À» Á¤¸®ÇÏ°í, °¢ Ãë¾àÁ¡¸¶´Ù Á¤ÀÇ ¹× ¿øÀÎ, Ãë¾àÇÑ ÄÚµå¿Í ¾ÈÀüÇÑ ÄÚµå, ¹®Á¦ÇØ°á ¹æ¹ý µîÀ» ¼¼úÇØ ÄÚµå ÀÛ¼º½Ã »ó´çÈ÷ À¯¿ëÇÒ °ÍÀ¸·Î º¸Àδ١±°í ¹àÇû´Ù.
OWASP°¡ ¼±Á¤ÇÑ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÀ§Çù TOP 10Àº Áö³ 2010³â ¹ßÇ¥µÈ °ÍÀ¸·Î, 3³â¸¶´Ù ¹ßÇ¥µÇ±â ¶§¹®¿¡ ³»³â¿¡ »õ·Ó°Ô ¹ßÇ¥µÈ´Ù. Âü°í·Î Áö³ 2010³â ¹ßÇ¥µÈ TOP 10Àº ´ÙÀ½°ú °°´Ù.
1. »ðÀÔ(Injection)
SQL, OS, LDAP »ðÀÔ°ú °°Àº »ðÀÔ Ãë¾àÁ¡Àº ½Å·ÚµÇÁö ¾ÊÀº µ¥ÀÌÅÍ°¡ Ä¿¸Çµå ¶Ç´Â Äõ¸®ÀÇ ÀϺηΠÀÎÅÍÇÁ¸®ÅÍ(¸í·É¾î ¹ø¿ª±â)¿¡ ¼Û½ÅµÉ ¶§ ¹ß»ýÇÑ´Ù. °ø°ÝÀÚÀÇ ÀûÀÇ°¡ ´ã±ä µ¥ÀÌÅÍ´Â ÀÎÅÍÇÁ¸®ÅÍ°¡ ÀǵµÇÏÁö ¾ÊÀº Ä¿¸Çµå¸¦ ½ÇÇàÇϰųª ½ÂÀεÇÁö ¾ÊÀº µ¥ÀÌÅÍ¿¡ Á¢¼ÓÇϵµ·Ï ¼ÓÀÏ ¼ö ÀÖ´Ù.
2. Cross-Site Scripting(XSS)
XSS Ãë¾àÁ¡Àº ¾ÖÇø®ÄÉÀ̼ÇÀÌ ½Å·ÚÇÒ ¼ö ¾ø´Â µ¥ÀÌÅ͸¦ ¹Þ¾ÆµéÀÌ°í, ±× µ¥ÀÌÅ͸¦ ÀûÀýÇÑ °ËÁõÀ̳ª Áß´Ü ¾øÀÌ À¥ ºê¶ó¿ìÀú¿¡ º¸³¾ °æ¿ì¿¡ ¹ß»ýÇÑ´Ù. XSS´Â À¯ÀúÀÇ ¼¼¼Ç Å»Ãë, À¥»çÀÌÆ®ÀÇ º¯°æ, À¯ÇØ»çÀÌÆ®·ÎÀÇ Redirect(°Á¦ À̵¿) µîÀ» ÇÒ ¼ö ÀÖ´Â ½ºÅ©¸³Æ®¸¦ »ç¿ëÀÚÀÇ ºê¶ó¿ìÀú¿¡¼ ½ÇÇàÇÏ°Ô Çã¿ëÇÑ´Ù.
3. Ãë¾àÇÑ ÀÎÁõ°ú ¼¼¼Ç °ü¸®(Broken Authentication and Session Management)
°ø°ÝÀÚ°¡ Æнº¿öµå, Å°, ¼¼¼Ç ÅäÅ«À» Á¶ÀÛ °¡´ÉÇϰųª ´Ù¸¥ À¯ÀúÀÇ ½ÅºÐÀ» »çĪÇÏ°Ô ÇÏ´Â ´Ù¸¥ ½ÇÇà °áÇÔÀ» ¾Ç¿ë °¡´ÉÇÑ °æ¿ì, ÀÎÁõ°ú ¼¼¼Ç °ü¸®¿¡ °ü·ÃµÈ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ±â´ÉÀº Á¦´ë·Î ½ÃÇàµÇÁö ¾Ê´Â´Ù.
4. À߸øµÈ Á÷Á¢ÀûÀÎ °´Ã¼ÂüÁ¶(Insecure Direct Object References)
Á÷Á¢ÀûÀÎ °´Ã¼ÂüÁ¶´Â °³¹ßÀÚ°¡ ÆÄÀÏ, µð·ºÅ丮, µ¥ÀÌÅͺ£À̽º Å° µî°ú °°Àº ³»ºÎ ½ÇÇఴü¿¡ ´ëÇÑ ·¹ÆÛ·±½º¸¦ ³ëÃâ½Ãų °æ¿ì¿¡ ¹ß»ýÇÑ´Ù. Á¢±ÙÅëÁ¦ È®ÀÎÀ̳ª ´Ù¸¥ º¸È£´ëÃ¥ÀÌ ¾øÀ» °æ¿ì, °ø°ÝÀÚ´Â ½ÂÀεÇÁö ¾ÊÀº µ¥ÀÌÅÍ¿¡ Á¢¼ÓÇÏ´Â ·¹ÆÛ·±½º¸¦ Á¶ÀÛÇÒ ¼ö ÀÖ´Ù.
5. Cross-Site Request Forgery (CSRF)
CSRF °ø°ÝÀº, ·Î±×ÀÎÇÑ »ç¿ëÀÚÀÇ ºê¶ó¿ìÀú°¡ »ç¿ëÀÇ ¼¼¼Ç ÄíÅ° ¹× ÀÚµ¿À¸·Î Æ÷ÇԵǴ ´Ù¸¥ ÀÎÁõÁ¤º¸¸¦ Æ÷ÇÔÇÏ´Â Á¶ÀÛµÈ HTTP ¿äûÀ» º¸³»µµ·Ï ÇÑ´Ù. °ø°ÝÀÚ´Â ÀÌ Ãë¾àÁ¡À» ¾Ç¿ëÇؼ »ç¿ëÀÚÀÇ ºê¶ó¿ìÀú°¡ Ãë¾àÇÑ ¾ÖÇø®ÄÉÀ̼ÇÀÌ »ç¿ëÀڷκÎÅÍ ¼Û½ÅµÈ Á¤´çÇÑ ¿äûÀ̶ó°í »ý°¢µÇ´Â ¿äûÀ» ¸¸µé¾î³»µµ·Ï ÇÒ ¼ö ÀÖ´Ù.
6. º¸¾È¼³Á¤ ¿À·ù(Security Misconfiguration)
¹Ù¶÷Á÷ÇÑ º¸¾ÈÀº ¾ÖÇø®ÄÉÀ̼Ç, ÇÁ·¹ÀÓ¿öÅ©, ¾ÖÇø®ÄÉÀÌ¼Ç ¼¹ö, À¥ ¼¹ö, µ¥ÀÌÅͺ£À̽º ¼¹ö, Ç÷§Æû µî¿¡ ´ëÇØ Á¤ÀÇµÇ°í ¹èÆ÷µÈ º¸¾È¼³Á¤À» ÇÏ´Â °ÍÀÌ ÇʼöÀûÀÌ´Ù. ¸¹Àº ¼³Á¤µéÀÌ Ã³À½ºÎÅÍ ¾ÈÀüÇÏ°Ô Á¦°øµÇÁö ¾Ê±â ¶§¹®¿¡, ÀÌ·¯ÇÑ ¼³Á¤µéÀº Á¤Àǵǰí, ½ÇÇàµÇ¸ç, À¯ÁöµÇ¾î¾ß ÇÑ´Ù. Áï, ¾ÖÇø®ÄÉÀ̼ǿ¡¼ »ç¿ëµÇ´Â ¸ðµç ÄÚµå ¶óÀ̺귯¸®¸¦ Æ÷ÇÔÇÏ¿© ¸ðµç ¼ÒÇÁÆ®¿þ¾î¸¦ ÃÖ½ÅÀÇ »óÅ·ΠÀ¯ÁöÇÏ´Â °ÍÀ» Æ÷ÇÔÇÑ´Ù.
7. À߸øµÈ ¾ÏÈ£ ÀúÀå(Insecure Cryptographic Storage)
¸¹Àº À¥ ¾ÖÇø®ÄÉÀ̼ÇÀº ½Å¿ëÄ«µå, SSN(»çȸº¸Àå¹øÈ£: ¹Ì±¹¿¡¼ÀÇ ¹Î°¨Á¤º¸), ÀÎÁõÁ¤º¸¿Í °°Àº ¹Î°¨ÇÑ µ¥ÀÌÅ͸¦ Á¤´çÇÑ ¾ÏÈ£È ¶Ç´Â Çؽ¬È ÇÏ¿© ¿Ã¹Ù¸£°Ô º¸È£ÇÏÁö ¾Ê´Â´Ù. °ø°ÝÀÚ´Â ½ÅºÐÀ§Àå, ½Å¿ëÄ«µå »ç±â³ª ±× ¿ÜÀÇ ¹üÁ˸¦ ÀúÁö¸£±â À§Çؼ ¾àÇÏ°Ô º¸È£µÈ µ¥ÀÌÅ͸¦ ÈÉÄ¡°Å³ª º¯°æÇÒ ¼ö ÀÖ´Ù.
8. URL Á¢¼ÓÁ¦ÇÑ ½ÇÆÐ(Failure to Restrict URL Access)
¸¹Àº À¥ ¾ÖÇø®ÄÉÀ̼ÇÀº º¸È£µÈ ¸µÅ©¿Í ¹öÆ°À» Ç¥½ÃÇϱâ Àü¿¡ URL Á¢¼Ó±ÇÇÑÀ» üũÇÑ´Ù. ±×·¯³ª ¾îÇø®ÄÉÀ̼ÇÀº ÀÌ·¯ÇÑ ÆäÀÌÁö¿¡ Á¢¼ÓµÇ°Å³ª, °ø°ÝÀÚ°¡ ¾î¶² ¹æ¹ýÀ¸·Îµç ¼û°ÜÁø ÆäÀÌÁö¿¡ Á¢¼ÓÇÏ·Á°í URLÀ» Á¶ÀÛÇÒ ¶§¸¶´Ù ºñ½ÁÇÑ Á¢¼ÓÅëÁ¦ È®ÀÎÀ» ½Ç½ÃÇÒ ÇÊ¿ä°¡ ÀÖ´Ù.
9. ºÒÃæºÐÇÑ Àü¼Û°èÃþ º¸È£(Insufficient Transport Layer Protection)
¾ÖÇø®ÄÉÀ̼ÇÀº ±â¹Ð¼ºÀ» °®Ãç¾ß ÇÏ°í, ¹Î°¨ÇÑ ³×Æ®¿öÅ© Æ®·¡ÇÈÀÇ ¹«°á¼ºÀ» ÀÎÁõÇÏ°í ¾ÏÈ£ÈÇÏ¸ç º¸È£ÇØ¾ß ÇÑ´Ù. ±×·¯³ª ¾ÖÇø®ÄÉÀ̼ÇÀÌ Ãë¾àÇÒ °æ¿ì ¾àÇÑ ¾Ë°í¸®ÁòÀ» »ç¿ëÇϰųª ¸¸·áµÇ°Å³ª À¯È¿ÇÏÁö ¾ÊÀº ÀÎÁõÀ» »ç¿ëÇϰųª ¶Ç´Â ÀÌ·¯ÇÑ °ÍµéÀ» ¹Ù¶÷Á÷ÇÏÁö ¾Ê°Ô »ç¿ëÇÏ°Ô µÈ´Ù.
10. Àΰ¡µÇÁö ¾ÊÀº Àü¼Û(Unvalidated Redirects and Forwards)
À¥ ¾îÇø®ÄÉÀ̼ÇÀº À¯Àú¸¦ ´Ù¸¥ ÆäÀÌÁö¿Í À¥ »çÀÌÆ®·Î ¸®´ÙÀÌ·ºÆ®ÇÏ°í Æ÷¿öµùÇϸç, ¸ñÀûÁö ÆäÀÌÁö¸¦ ÆÇ´ÜÇϱâ À§ÇØ ½Å·ÚµÇÁö ¾Ê´Â µ¥ÀÌÅ͸¦ »ç¿ëÇÑ´Ù. ¿Ã¹Ù¸¥ °ËÁõÀ» ½Ç½ÃÇÏÁö ¾ÊÀ¸¸é, °ø°ÝÀÚ´Â Èñ»ýÀÚ¸¦ ÇÇ½Ì »çÀÌÆ®³ª À¯ÇØÇÑ »çÀÌÆ®·Î ¸®´ÙÀÌ·ºÆ® Çϰųª Àΰ¡µÇÁö ¾ÊÀº ÆäÀÌÁö¸¦ Á¢¼ÓÇÏ´Â Æ÷¿öµùÀ» »ç¿ëÇÒ ¼ö ÀÖ´Ù.
ÇÑÆí, ÀÌ ÇѱÛÀÚ·á´Â Çѱ¹Á¤º¸º¸È£±³À°¼¾ÅÍ È¨ÆäÀÌÁöÀÇ Áö½Ää³Î ¸Þ´º(http://www.kisec.com/knowledge_channel/kiseclab)¿¡¼ ¹«·á·Î ´Ù¿î·Îµå ¹ÞÀ» ¼ö ÀÖ´Ù.
[±Ç ÁØ ±âÀÚ(editor@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>