Home > Àüü±â»ç

¡®OWASP TOP 10 2013¡¯ ²Ä²ÄÈ÷ »ìÆ캸±â

ÀÔ·Â : 2013-04-22 13:55
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

¡®OWASP TOP 10 2013¡¯ »ó¼¼ ¸®ºä...2010 ¹öÀü°ú ´Ù¸¥ Á¡Àº?  


[º¸¾È´º½º ±èÅÂÇü] OWASP(The Open Web Application Security Project)¿¡¼­ 3³â ¸¶´Ù ¹ßÇ¥Çϴ ¡®OWASP Top 10¡¯Àº À¥ º¸¾È°ú °ü·ÃÇÑ 10´ë Ãë¾àÁ¡À» Áý°èÇÑ °ÍÀ¸·Î, º¸¾ÈÁ¾»çÀڵ鿡°Ô ÁÁÀº Âü°íÀÚ·á°¡ µÇ°í ÀÖ´Ù.

ÀÌ¿Í °ü·ÃÇØ ±¹³» À¥º¸¾È ¾÷üÀÎ Æ®¸®´ÏƼ¼ÒÇÁÆ®¿¡¼­ ¡®OWASP TOP 10 2013¡¯ ¸®ºä¿Í ÇÔ²² ±¹³» ½ÃÅ¥¾îÄÚµù Á¡°ËÇ׸ñ 43°³¿Í ºñ±³ÇÑ º¸°í¼­¸¦ ¹ßÇ¥ÇØ °ü½ÉÀ» ¸ðÀ¸°í ÀÖ´Ù.  

Áö³­ 2001³â 12¿ù ¿Â¶óÀÎÀ» ÅëÇØ È°µ¿À» ½ÃÀÛÇÑ OWASP´Â À¥ º¸¾ÈÀ» ÁÖµµÇÏ´Â ºñ¿µ¸® ±â±¸·Î ±¹³»¿¡¼­´Â ¡®OWASP Top 10¡¯À¸·Î Àß ¾Ë·ÁÁø ´Üü´Ù. ƯÈ÷, À¥ ¾ÖÇø®ÄÉÀ̼ǰú °ü·ÃµÈ º¸¾È Ãë¾àÁ¡ ´ëÀÀÀ» ºñ·ÔÇØ ´Ù¾çÇÑ ¼ÒÇÁÆ®¿þ¾î º¸¾È °­È­¸¦ À§ÇÑ ÄÁÆÛ·±½º °³ÃÖ, ¿¬±¸ º¸°í¼­ ¹ß°£ µîÀÇ È°µ¿À» ¼öÇàÇÏ°í ÀÖ´Ù.


    

     ¡ã ¡®OWASP TOP 10¡¯ 2010³â ¹öÀü°ú 2013³â ¹öÀü¿¡¼­ º¯°æµÈ ºÎºÐ


À̹ø¿¡ ¹ßÇ¥µÈ ¡®OWASP TOP 10 2013¡¯À» Áö³­ 2010³â°ú ºñ±³ÇØ º¸¸é º¯°æµÈ ºÎºÐÀº ¡®A7, A8¡¯, ±×¸®°í 2010³â ¹öÀü¿¡ Á¸ÀçÇß´ø ¡®A6: Security Misconfiguration¡¯ÀÌ »èÁ¦µÇ°í, ¡®A9: Insufficient Transport Layer Protection¡¯ÀÌ 2013³â ¹öÀüÀÇ A6ÀÎ ¡®Sensitive Data Exposure¡¯·Î ÅëÇյƴÙ.

¶ÇÇÑ, 2013³â¿¡ »õ·Î »ý¼ºµÈ ¡®A9 Using Known Vulnerable Components¡¯ÀÌ ÀÖ´Ù´Â Á¡ÀÌ´Ù.


°ø°ÝÀÚµéÀº ¿î¿µÁßÀÎ ±â¾÷ ¹× Á¶Á÷À» ħÇØÇϱâ À§ÇØ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ´Ù¾çÇÑ °æ·Î¸¦ »ç¿ëÇÒ ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ °ø°Ý°æ·ÎÀÇ È®ÀÎÀº ¾ÆÁÖ ½±°Ô ȤÀº ¶§¶§·Î ã±â ¾î·Á¿ï Á¤µµ·Î º¹ÀâÇÒ ¼öµµ ÀÖÀ¸¸ç, ÀÌ·¯ÇÑ °ø°Ý°æ·ÎµéÀº ´Ù¾çÇÑ Ä§ÇØ»ç°í¸¦ À¯¹ß½ÃÅ°°í ÀÖ´Ù.


    


±×·¸´Ù¸é ÀÌ·¯ÇÑ Ä§ÇØ»ç°íÀÇ À§Ç輺¿¡ ´ëÇÑ Æò°¡´Â À§ ±×¸²¿¡¼­ ¾ð±ÞµÈ °ø°ÝÀÚ(Threat Agents), °ø°ÝÀ¯Çü(Vectors), Ãë¾à¿ä¼Ò(Security Weakness)¿Í ÀÌ·¯ÇÑ ¿ä¼ÒµéÀÌ ±â¾÷¿¡ ¹ÌÄ¡´Â ¿µÇâÀ» ÇÔ²² Á¶»çÇؾ߸¸ °¡´ÉÇÏ´Ù.


OWASP Top 10Àº ¹ß»ýÇÒ ¼ö ÀÖ´Â À§Çè¿ä¼Ò¸¦ È®ÀÎÇϴµ¥ ÁýÁßÇÏ°í ÀÖÀ¸¸ç, ¾Æ·¡ÀÇ ±×¸²Àº À§Çè ¿ä¼Òº° ºñÁî´Ï½º¿¡ ¹ÌÄ¡´Â ¿µÇâÀ» ³ªÅ¸³»´Â OWASPÀÇ À§Çèµî±Þ¹æ¹ý·ÐÀ» ÀǹÌÇÏ°í ÀÖ´Ù.


    


¹°À½Ç¥·Î ä¿öÁ® ÀÖ´Â ºÎºÐ(Threat Agent, Business Impact)Àº »çÀÌÆ®¸¦ °ü¸®ÇÏ´Â ´ã´çÀÚÀÇ ¸òÀ¸·Î, °ü¸®ÀÚ°¡ °ü·Ã¼ºÀ» °í·ÁÇØ Æò°¡¸¦ ¼öÇàÇØ¾ß ÇÏ¸ç °ü·Ã ³»¿ëÀº ȨÆäÀÌÁö(www.owasp.org/index.php/OWASP_Risk_Rating_Methodology)¿¡¼­ Á» ´õ ÀÚ¼¼ÇÏ°Ô È®ÀÎÇغ¼ ¼ö ÀÖ´Ù.


OWASP Top 10 Application Security Risks - 2013

¡â A1- Injection

SQL»ðÀÔ, ¸í·É¾î »ðÀÔ, LDAP »ðÀÔ°ú °°Àº Ãë¾àÁ¡ÀÌ Æ÷ÇԵǸç, ÁÖ¿ä ¿øÀÎÀº ½Å·ÚÇÒ ¼ö ¾ø´Â ¿ÜºÎ °ª¿¡ ÀÇÇØ ¹ß»ýµÇ¸ç ¸í·É¾î ½ÇÇà ¶Ç´Â Á¢±ÙÀÌ ºÒ°¡´ÉÇÑ µ¥ÀÌÅÍ¿¡ ´ëÇÑ Á¢±Ù µîÀÇ Ãë¾àÁ¡À» ¹ß»ý½ÃŲ´Ù.


¡â A2 - Broken Authentication and Session Management

ÀÎÁõ ¹× ¼¼¼Ç°ü¸®¿Í °ü·ÃµÈ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ºñÁ¤»óÀûÀÎ µ¿ÀÛÀ¸·Î ÀÎÇØ Æнº¿öµå, Å°, ¼¼¼ÇÅäÅ« ¹× »ç¿ëÀÚ µµ¿ë°ú °°Àº Ãë¾àÁ¡À» ¹ß»ý½ÃŲ´Ù.


¡â A3 - XSS

½Å·ÚÇÒ ¼ö ¾ø´Â ¿ÜºÎ °ªÀ» ÀûÀýÇÑ °ËÁõ ¾øÀÌ À¥ ºê¶ó¿ìÀú·Î Àü¼ÛÇÏ´Â °æ¿ì ¹ß»ýµÇ´Â Ãë¾àÁ¡À¸·Î, »ç¿ëÀÚ ¼¼¼ÇÀ» °¡·Îä°Å³ª, ȨÆäÀÌÁö º¯Á¶, ¾ÇÀÇÀûÀÎ »çÀÌÆ® À̵¿ µîÀÇ °ø°ÝÀ» ¼öÇàÇÒ ¼ö ÀÖ´Ù.


¡â A4 - Insecure Direct Object References

ÆÄÀÏ, µð·ºÅ丮, µ¥ÀÌÅͺ£À̽º Å°¿Í °°Àº ³»ºÎÀûÀ¸·Î 󸮵Ǵ ¿ÀºêÁ§Æ®°¡ ³ëÃâµÇ´Â °æ¿ì, ´Ù¿î·Îµå Ãë¾àÁ¡ µîÀ» ÀÌ¿ëÇØ ½Ã½ºÅÛ ÆÄÀÏ¿¡ Á¢±ÙÇÏ´Â Ãë¾àÁ¡ µîÀ» ÀǹÌÇÑ´Ù.


¡â A5 - Security Misconfiguration

¾ÖÇø®ÄÉÀ̼Ç, ÇÁ·¹ÀÓ¿öÅ©, ¾ÖÇø®ÄÉÀ̼Ǽ­¹ö, µ¥ÀÌÅͺ£À̽º¼­¹ö, Ç÷§Æû µî¿¡ º¸¾È¼³Á¤À» ÀûÀýÇÏ°Ô ¼³Á¤ÇÏ°í ÃÖÀûÈ­µÈ °ªÀ¸·Î À¯ÁöÇϸç, ¶ÇÇÑ ¼ÒÇÁÆ®¿þ¾î´Â ÃÖ½ÅÀÇ ¾÷µ¥ÀÌÆ® »óÅ·ΠÀ¯ÁöÇØ¾ß ÇÑ´Ù.


¡â A6 - Sensitive Data Exposure

´ë´Ù¼öÀÇ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀº Ä«µå¹øÈ£ µî°ú °°Àº °³ÀÎÁ¤º¸¸¦ ÀûÀýÇÏ°Ô º¸È£ÇÏ°í ÀÖÁö ¾Ê±â ¶§¹®¿¡ °³ÀÎÁ¤º¸ À¯Ãâ°ú °°Àº Ãë¾àÁ¡ÀÌ ¹ß»ýµÇ°í ÀÖ´Ù. À̸¦ º¸¿ÏÇϱâ À§Çؼ­´Â µ¥ÀÌÅÍ ÀúÀå ½Ã ¾Ïȣȭ ¹× µ¥ÀÌÅÍ Àü¼Û ½Ã¿¡µµ SSL µîÀ» ÀÌ¿ëÇØ¾ß ÇÑ´Ù.


¡â A7 - Missing Function Level Access Control

°¡»óÀûÀ¸·Î´Â UI¿¡¼­ º¸¿©Áö´Â ƯÁ¤±â´ÉÀ» ¼öÇà Àü, ±â´É Á¢±ÙÁ¦ÇÑ ±ÇÇÑÀ» °ËÁõÇØ¾ß Çϳª, ¾ÖÇø®ÄÉÀ̼ÇÀº °¢ ±â´É¿¡ ´ëÇÑ Á¢±Ù ½Ã µ¿ÀÏÇÑ Á¢±ÙÅëÁ¦ °Ë»ç ¼öÇàÀÌ ¿ä±¸µÈ´Ù. ¸¸ÀÏ ÀûÀýÇÏ°Ô ¼öÇàµÇÁö ¾Ê´Â °æ¿ì °ø°ÝÀÚ´Â ºñÀΰ¡µÈ ±â´É¿¡ Á¢±ÙÇϱâ À§ÇØ, Á¤»óÀûÀÎ ¿äûÀ» º¯Á¶ÇÒ ¼öµµ ÀÖ´Ù.


¡â A8 - CSRF

·Î±×¿ÂµÈ ÇÇÇØÀÚÀÇ À¥ ºê¶ó¿ìÀú¸¦ ÅëÇØ, ¼¼¼Ç ÄíÅ° ¹× ±âŸ ´Ù¸¥ ÀÎÁõÁ¤º¸°¡ Æ÷ÇÔµÇ¾î º¯Á¶µÈ HTTP ¿äûÀ» Àü¼Û½ÃÄÑ, Á¤»óÀûÀÎ ¿äûó·³ º¸ÀÌ°Ô ÇÏ´Â ±â¹ýÀ¸·Î ¹°Ç°±¸¸Å, »çÀÌÆ® ±Û º¯Á¶ µîÀÇ ¾ÇÀÇÀûÀÎ ÇൿÀ» ÇÏ´Â Ãë¾àÁ¡À» ÀǹÌÇÑ´Ù.


¡â A9 - Using Components with Known Vulnerabilities

½´ÆÛÀ¯Àú ±ÇÇÑÀ¸·Î ¿î¿µµÇ´Â Ãë¾àÇÑ ¶óÀ̺귯¸®, ÇÁ·¹ÀÓ¿öÅ© ¹× ±âŸ ´Ù¸¥ ¼ÒÇÁÆ®¿þ¾î ¸ðµâ·Î ÀÎÇØ µ¥ÀÌÅÍÀ¯½Ç ¹× ¼­¹ö ±ÇÇÑȹµæ°ú °°Àº Ãë¾à¼ºÀÌ Á¸ÀçÇÑ´Ù.


¡â A10 - Unvalidated Redirects and Forwards

À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ Á¢¼ÓÇÑ »ç¿ëÀÚ¸¦ ´Ù¸¥ ÆäÀÌÁö·Î ºÐ±â ½ÃÅ°´Â °æ¿ì, À̵¿µÇ´Â ¸ñÀûÁö¿¡ ´ëÇÑ °ËÁõºÎÀç ½Ã, ÇǽÌ, ¾Ç¼ºÄÚµå »çÀÌÆ® µîÀÇ Á¢¼Ó ¹× Àΰ¡µÇÁö ¾Ê´Â ÆäÀÌÁö Á¢±Ù µîÀÇ ¹®Á¦Á¡À» ÀÏÀ¸Å³ ¼ö ÀÖ´Ù.

 

ÇÑÆí, Æ®¸®´ÏƼ¼ÒÇÁÆ®¿¡¼­ ¡®OWASP TOP 10 2013¡¯ ¸®ºä¿Í ÇÔ²² ±¹³» ½ÃÅ¥¾îÄÚµù Á¡°ËÇ׸ñ 43°³¿Í ºñ±³ÇÑ º¸°í¼­´Â º»Áö ÄÁÅÙÃ÷ ÄÚ³Ê(http://www.boannews.com/security_contents/info/view.asp?idx=599&code=04038)¿¡¼­ ´Ù¿î·Îµå ¹ÞÀ» ¼ö ÀÖ´Ù.

[±èÅÂÇü ±âÀÚ(boan@boannews.com)]


<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 3
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)