Home > Àüü±â»ç

µåµð¾î ³ª¿Â 2017³âÆÇ OWASP TOP 10, ¾î¶² º¸¾ÈÀ§Çù ´ã°å³ª

ÀÔ·Â : 2017-04-21 11:25
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
OWASP Top 10 – 2017...4³â¸¶´Ù ÇÑ ¹ø¾¿ º¸¾ÈÀ§Çù ¹ßÇ¥
¿ÃÇØ ¹öÀü, Ãë¾àÇÑ °ø°Ý ¹æ¾î¿Í Ãë¾àÇÑ API Ãß°¡


[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] 4³â¸¶´Ù ÇÑ ¹ø¾¿ Ãë¾àÁ¡ Top 10À» ¹ßÇ¥ÇÏ´Â OWASP(The Open Web Application Security Project)°¡ Áö³­ 4¿ù ÃÊ ¡®OWASP Top 10 – 2017¡¯À» ¹ßÇ¥Çß´Ù. ºñ¿µ¸®Àç´ÜÀÎ OWASP´Â ¾î¶°ÇÑ ±â¾÷°úµµ Á¦ÈÞ³ª Çù¾àÀ» ¸ÎÁö ¾Ê°í, »ó¾÷ÀûÀÎ ¸ñÀûÀ̳ª ÀÌÀ± ¾Ð¹ÚÀÌ ¾ø±â ¶§¹®¿¡ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È¿¡ ´ëÇØ °øÁ¤ÇÏ°í ½ÇÁúÀûÀ̸ç, È¿À²ÀûÀÎ Á¤º¸¸¦ Á¦°øÇÏ°í ÀÖ´Ù.

OWASP Top10Àº 8°³ÀÇ ÄÁ¼³Æà ȸ»ç¿Í 3°³ÀÇ Á¦Ç° °ø±Þ¾÷ü¸¦ Æ÷ÇÔÇØ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÀü¹® ¾÷üÀÇ 11°³ ´ëÇü µ¥ÀÌÅͼÂÀ» ±â¹ÝÀ¸·Î ÀÛ¼ºµÈ´Ù. À̹ø 2017 ¹öÀüÀº Áö³­ 2013³â ÀÌÈÄ Ã³À½À¸·Î µÎ °³ÀÇ Ç׸ñÀÌ ½Å¼³µÆ´Ù. ù ¹ø°´Â Ãë¾àÇÑ °ø°Ý ¹æ¾îÇ׸ñÀ̸ç, ¶Ç Çϳª´Â Ãë¾àÇÑ API Ç׸ñÀÌ´Ù.

¡â ÀÎÁ§¼Ç
SQL, OS, XXE, LDAP ÀÎÁ§¼Ç Ãë¾àÁ¡Àº ½Å·ÚÇÒ ¼ö ¾ø´Â µ¥ÀÌÅÍ°¡ ¸í·É¾î³ª Äõ¸®¹®ÀÇ ÀϺκÐÀÌ ÀÎÅÍÇÁ¸®ÅÍ·Î º¸³»Áú ¶§ ¹ß»ýÇÑ´Ù. °ø°ÝÀÚÀÇ ¾ÇÀÇÀûÀÎ µ¥ÀÌÅÍ´Â ¿¹»óÇÏÁö ¸øÇÏ´Â ¸í·ÉÀ» ½ÇÇàÇϰųª, ÀûÀýÇÑ ±ÇÇÑ ¾øÀÌ µ¥ÀÌÅÍ¿¡ Á¢±ÙÇϵµ·Ï ÀÎÅÍÇÁ¸®Å͸¦ ¼ÓÀÏ ¼ö ÀÖ´Ù.

¡ã ÀÚ·áÁ¦°ø : ºí·¢ÆÈÄÜ ÀÌÁöÇý



¡â ÀÎÁõ ¹× ¼¼¼Ç°ü¸® Ãë¾àÁ¡
ÀÎÁõ ¹× ¼¼¼Ç °ü¸®¿Í °ü·ÃµÈ ¾ÖÇø®ÄÉÀÌ¼Ç ±â´ÉÀÌ Á¾Á¾ À߸ø ±¸ÇöµÇ¾î °ø°ÝÀÚ¿¡°Ô Ãë¾àÇÑ ¾ÏÈ£, Å° ¶Ç´Â ¼¼¼Ç ÅäÅ«À» Á¦°øÇØ ´Ù¸¥ »ç¿ëÀÚÀÇ ±ÇÇÑÀ» (ÀϽÃÀûÀ¸·Î ¶Ç´Â ¿µ±¸ÀûÀ¸·Î) ¾òµµ·Ï ÀͽºÇ÷ÎÀÕÇÑ´Ù.

¡ã ÀÚ·áÁ¦°ø : ºí·¢ÆÈÄÜ ÀÌÁöÇý



¡â Å©·Î½º »çÀÌÆ®½ºÅ©¸³ÆÃ(XSS)
XSS Ãë¾àÁ¡Àº ¾ÖÇø®ÄÉÀ̼ÇÀÌ ÀûÀýÇÑ À¯È¿¼º °Ë»ç ¶Ç´Â À̽ºÄÉÀÌÇÁó¸® ¾øÀÌ, »õ À¥ ÆäÀÌÁö¿¡ ½Å·ÚÇÒ ¼ö ¾ø´Â µ¥ÀÌÅ͸¦ Æ÷ÇÔÇϰųª, JavaScript¸¦ »ý¼ºÇÒ ¼ö ÀÖ´Â ºê¶ó¿ìÀú API¸¦ »ç¿ëÇØ »ç¿ëÀÚ°¡ Á¦°øÇÑ µ¥ÀÌÅÍ·Î ±âÁ¸ À¥ ÆäÀÌÁö¸¦ ¾÷µ¥ÀÌÆ®ÇÑ´Ù. XSS¸¦ »ç¿ëÇÏ¸é °ø°ÝÀÚ°¡ Èñ»ýÀÚÀÇ ºê¶ó¿ìÀú¿¡¼­ »ç¿ëÀÚ ¼¼¼ÇÀ» µµ¿ëÇϰųª, À¥»çÀÌÆ®¸¦ º¯Á¶½ÃÅ°°Å³ª, ¾Ç¼º»çÀÌÆ®·Î ¸®´ÙÀÌ·º¼Ç ½Ãų ¼ö ÀÖ´Ù.

¡ã ÀÚ·áÁ¦°ø : ºí·¢ÆÈÄÜ ÀÌÁöÇý



¡â Ãë¾àÇÑ Á¢±ÙÁ¦¾î
Ãë¾àÇÑ Á¢±ÙÁ¦¾î´Â ÀÎÁõµÈ »ç¿ëÀÚ°¡ ¼öÇàÇÒ ¼ö ÀÖ´Â ÀÛ¾÷¿¡ ´ëÇÑ Á¦ÇÑÀÌ Á¦´ë·Î Àû¿ëµÇÁö ¾Ê´Â °ÍÀ» ÀǹÌÇÑ´Ù. °ø°ÝÀÚ´Â ÀÌ·¯ÇÑ °áÇÔÀ» ¾Ç¿ëÇØ ´Ù¸¥ »ç¿ëÀÚÀÇ °èÁ¤¿¡ ¾×¼¼½ºÇϰųª, Áß¿äÇÑ ÆÄÀÏÀ» º¸°í ´Ù¸¥ »ç¿ëÀÚÀÇ µ¥ÀÌÅ͸¦ ¼öÁ¤Çϰųª, Á¢±Ù ±ÇÇÑÀ» º¯°æÇÏ´Â µî ±ÇÇÑ ¾ø´Â ±â´É ¶Ç´Â µ¥ÀÌÅÍ¿¡ Á¢±ÙÇÒ ¼ö ÀÖ´Ù.

¡ã ÀÚ·áÁ¦°ø : ºí·¢ÆÈÄÜ ÀÌÁöÇý



¡â º¸¾È ¼³Á¤ ¿À·ù
¹Ù¶÷Á÷ÇÑ º¸¾ÈÀº ¾ÖÇø®ÄÉÀ̼Ç, ÇÁ·¹ÀÓ¿öÅ©, WAS, À¥ ¼­¹ö, DB ¼­¹ö ¹× Ç÷§Æû¿¡ ´ëÇØ º¸¾È ¼³Á¤ÀÌ Á¤Àǵǰí Àû¿ëµÇ¾î ÀÖ´Ù. º¸¾È ±âº» ¼³Á¤Àº ´ëºÎºÐ ¾ÈÀüÇÏÁö ¾Ê±â ¶§¹®¿¡ Á¤ÀÇ¿Í ±¸Çö, ±×¸®°í À¯Áö¶ó´Â 3¹ÚÀÚ°¡ Àß ÀÌ·ç¾îÁ®¾ß ÇÑ´Ù. ¶ÇÇÑ, ¼ÒÇÁÆ®¿þ¾î´Â ÃֽŠ¹öÀüÀ¸·Î °ü¸®ÇØ¾ß ÇÑ´Ù.

¡ã ÀÚ·áÁ¦°ø : ºí·¢ÆÈÄÜ ÀÌÁöÇý



¡â ¹Î°¨ µ¥ÀÌÅÍ ³ëÃâ
´ëºÎºÐÀÇ À¥ ¾ÖÇø®ÄÉÀ̼ǰú API´Â ±ÝÀ¶Á¤º¸, °Ç°­Á¤º¸, °³Àνĺ°Á¤º¸¿Í °°Àº ¹Î°¨Á¤º¸¸¦ Á¦´ë·Î º¸È£ÇÏÁö ¸øÇÑ´Ù. °ø°ÝÀÚ´Â ½Å¿ëÄ«µå»ç±â, ½ÅºÐµµ¿ë ¶Ç´Â ´Ù¸¥ ¹üÁ˸¦ ¼öÇàÇÏ´Â Ãë¾àÇÑ µ¥ÀÌÅ͸¦ ÈÉÄ¡°Å³ª º¯°æÇÒ ¼ö ÀÖ´Ù. ºê¶ó¿ìÀú¿¡¼­ Áß¿ä µ¥ÀÌÅ͸¦ ÀúÀå ¶Ç´Â Àü¼ÛÇÒ ¶§ Ưº°È÷ ÁÖÀÇÇØ¾ß Çϸç, ¾Ïȣȭ¿Í °°Àº º¸È£Á¶Ä¡¸¦ ÃëÇØ¾ß ÇÑ´Ù.

¡ã ÀÚ·áÁ¦°ø : ºí·¢ÆÈÄÜ ÀÌÁöÇý



¡â °ø°Ý ¹æ¾î Ãë¾àÁ¡
´ëºÎºÐÀÇ ¾ÖÇø®ÄÉÀ̼ǰú API¿¡´Â ¼öµ¿ °ø°Ý°ú ÀÚµ¿ °ø°ÝÀ» ¸ðµÎ ŽÁöÇϰųª ¹æÁö¡¤´ëÀÀÇÒ ¼ö ÀÖ´Â ±âº» ±â´ÉÀÌ ¾ø´Ù. °ø°Ý º¸È£´Â ±âº» ÀÔ·Â À¯È¿¼º °Ë»ç¸¦ ÈξÀ ¶Ù¾î³ÑÀ¸¸ç, ÀÚµ¿ ŽÁö, ·Î±ë, ÀÀ´ä, ÀͽºÇ÷ÎÀÕ ½Ãµµ Â÷´ÜÀ» Æ÷ÇÔÇÑ´Ù. ¾ÖÇø®ÄÉÀÌ¼Ç ¼ÒÀ¯ÀÚ´Â °ø°ÝÀ¸·ÎºÎÅÍ º¸È£Çϱâ À§ÇØ ÆÐÄ¡¸¦ ½Å¼ÓÇÏ°Ô ¹èÆ÷ÇÒ ¼ö ÀÖ¾î¾ß ÇÑ´Ù.

¡ã ÀÚ·áÁ¦°ø : ºí·¢ÆÈÄÜ ÀÌÁöÇý



¡â Å©·Î½º »çÀÌÆ® ¿äû º¯Á¶(CSRF)
CSRF °ø°ÝÀº ·Î±×ÀÎµÈ ÇÇÇØÀÚÀÇ Ãë¾àÇÑ À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ ÇÇÇØÀÚÀÇ ¼¼¼Ç ÄíÅ°¿Í ±âŸ ÀÎÁõÁ¤º¸¸¦ Æ÷ÇÔÇØ À§Á¶µÈ HTTP ¿äûÀ» °­Á¦·Î º¸³»µµ·Ï ÇÑ´Ù. ¿¹¸¦ µé¾î, °ø°ÝÀÚ°¡ Ãë¾àÇÑ ¾îÇø®ÄÉÀ̼ÇÀÌ ÇÇÇØÀÚÀÇ Á¤´çÇÑ ¿äûÀ̶ó°í ¿ÀÇØÇÒ ¼ö ÀÖ´Â ¿äûµéÀ» °­Á¦·Î ¸¸µé ¼ö ÀÖ´Ù.

¡ã ÀÚ·áÁ¦°ø : ºí·¢ÆÈÄÜ ÀÌÁöÇý



¡â ¾Ë·ÁÁø Ãë¾àÁ¡ÀÌ ÀÖ´Â ÄÄÆ÷³ÍÆ® »ç¿ë
ÄÄÆ÷³ÍÆ®, ¶óÀ̺귯¸®, ÇÁ·¹ÀÓ¿öÅ© ¹× ´Ù¸¥ ¼ÒÇÁÆ®¿þ¾î ¸ðµâÀº ¾ÖÇø®ÄÉÀ̼ǰú °°Àº ±ÇÇÑÀ¸·Î ½ÇÇàµÈ´Ù. ÀÌ·± Ãë¾àÇÑ ÄÄÆ÷³ÍÆ®¸¦ ¾Ç¿ëÇØ °ø°ÝÇÏ´Â °æ¿ì, ½É°¢ÇÑ µ¥ÀÌÅÍ ¼Õ½ÇÀÌ ¹ß»ýÇϰųª ¼­¹ö°¡ Àå¾ÇµÈ´Ù. ¾Ë·ÁÁø Ãë¾àÁ¡ÀÌ ÀÖ´Â ±¸¼º ¿ä¼Ò¸¦ »ç¿ëÇÏ´Â ¾ÖÇø®ÄÉÀ̼ǰú API´Â ¾îÇø®ÄÉÀ̼ÇÀ» ¾àÈ­½ÃÅ°°í ´Ù¾çÇÑ °ø°Ý°ú ¿µÇâÀ» ÁÙ ¼ö ÀÖ´Ù.

¡ã ÀÚ·áÁ¦°ø : ºí·¢ÆÈÄÜ ÀÌÁöÇý



¡â Ãë¾àÇÑ API
ÃֽŠ¾îÇø®ÄÉÀ̼ǿ¡´Â ÀÏÁ¾ÀÇ API (SOAP / XML, REST / JSON, RPC, GWT µî)¿¡ ¿¬°áµÇ´Â ºê¶ó¿ìÀú ¹× ¸ð¹ÙÀÏ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ÀÚ¹Ù½ºÅ©¸³Æ®(JavaScript)¿Í °°Àº ¿©·¯ Ŭ¶óÀ̾ðÆ® ¾ÖÇø®ÄÉÀÌ¼Ç ¹× API°¡ Æ÷ÇԵǴ °æ¿ì°¡ ¸¹´Ù. ÀÌ·¯ÇÑ API´Â ´ëºÎºÐ º¸È£µÇÁö ¾ÊÀ¸¸ç ¼ö¸¹Àº Ãë¾àÁ¡À» Æ÷ÇÔÇÑ´Ù.

¡ã ÀÚ·áÁ¦°ø : ºí·¢ÆÈÄÜ ÀÌÁöÇý



OWASP ÃøÀº À̹ø Top 10¿Ü¿¡µµ ¡®OWASP Developer¡¯s Guide¡¯¿Í ¡®OWASP Cheat Sheet Series¡¯¿¡¼­ ¼ö¹é °³ÀÇ À¥ ¾îÇø®ÄÉÀÌ¼Ç À§Çù¿ä¼Ò¸¦ ´Ù·é´Ù¸ç, À¥ ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ßÀÚ¶ó¸é ¹Ýµå½Ã Âü°íÇÒ °ÍÀ» ±Ç°íÇß´Ù. ¶ÇÇÑ, º¸¾È Ãë¾àÁ¡Àº ¾ÆÁÖ º¹ÇÕÀûÀÌ¸ç ¾öû³­ ÄÚµå ´õ¹Ì »çÀÌ¿¡ ¼û¾î Àֱ⠶§¹®¿¡ ÁÁÀº µµ±¸¸¦ È°¿ëÇÒ ¼ö ÀÖ´Â º¸¾ÈÀü¹®°¡¸¦ È°¿ëÇ϶ó°í Á¶¾ðÇß´Ù.

¹«¾ùº¸´Ù º¸¾ÈÀÌ °³¹ßÁ¶Á÷ Àü¹Ý¿¡ °ÉÃÄ ÇʼöÀûÀÎ ¿ä¼Ò¶ó°í ÀνÄÇÏ´Â ¹®È­¸¦ ¸¸µå´Â °ÍÀÌ Áß¿äÇÏ´Ù°í OWASP´Â °­Á¶Çß´Ù.

ÇÑÆí, OWASP ÇÑ±Û ¹ø¿ªº»Àº ºí·¢ÆÈÄÜ(Black Falcon) ÀÌÁöÇý ¾¾°¡ Á¦°øÇßÀ¸¸ç. Àü¹®Àº ºí·¢ÆÈÄÜ ºí·Î±×¿¡¼­ ¹ÞÀ» ¼ö ÀÖ´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 3
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)