Home > Security

OWASP Top 10 2017 RC2 ¹ßÇ¥...»õ·Î ¼±Á¤µÈ º¸¾È Ãë¾àÁ¡ 3°¡Áö´Â?

ÀÔ·Â : 2017-10-21 23:59
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
»õ·Î °ø°³µÈ OWASP Top 10 2017 RC2 ¹öÀü...RC1¿¡¼­ ¾î¶² Ç׸ñ ¹Ù²î¾ú³ª

[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] ºñ¿µ¸®Àç´ÜÀÎ OWASP°¡ ¡®OWASP(The Open Web Application Security Project) TOP10 2017 RC2¡¯¸¦ ¹ßÇ¥Çß´Ù.

[À̹ÌÁö=OWASP Top 10 2017 ¹ßÇ¥ ĸó È­¸é]


À̹ø¿¡ ¹ßÇ¥µÈ RC(Release Candidate) 2´Â Áö³­ 9¿ù °ø°³µÈ ¡®OWASP TOP10 2017 RC1¡¯ÀÇ ´ÙÀ½ ´Ü°èÀÌÀÚ ÃÖÁ¾ Á¤½Ä¹öÀüÀÇ ¹Ù·Î Àü ´Ü°è·Î Çǵå¹éÀ» ¹Þ±â À§ÇØ ¹Ì¸® °ø°³ÇÏ´Â ¹öÀüÀÌ´Ù.

ÀÌ´Â ³»ºÎ ÀúÀÚµéÀÌ 1Â÷ÀûÀ¸·Î RC1À» ÀÛ¼ºÇÏ°í, ¼ö¸¹Àº ¿ÜºÎ Àü¹®°¡µéÀÇ ¿©·¯ °ËÁõÀ» °ÅÄ¡¸ç ÃÖÁ¾ Á¤½Ä¹öÀü±îÁö ¹ßÀü½ÃÄÑ ³ª°¡±â À§Çؼ­ ÁøÇàµÈ´Ù°í º¼ ¼ö ÀÖ´Ù. ¹«¾ùº¸´Ù º¸¾ÈÀ§Çù¿¡ ´ëÇØ º¸´Ù Àü¹®ÀûÀÌ°í ½Å·Ú¼º ÀÖ´Â Á¤º¸¸¦ ÃëÇÕÇÔÀ¸·Î½á º¸¾ÈÀ§Çù Çؼҿ¡ ±â¿©Çϱâ À§ÇØ ÁøÇàµÇ´Â °ÍÀÌ´Ù.

RC2¿¡¼­ »õ·Ó°Ô ¼±Á¤µÈ º¸¾È Ãë¾àÁ¡Àº ¡âA4. XML External Entity ¡âA8. Insecure Deserialization ¡âA10. Insufficient Logging & Monitoring 3°¡Áö Ç׸ñÀÌ´Ù. ¹Ý¸é, RC1¿¡¼­ ¹ßÇ¥µÆ´ø ¡âA7. Insufficient Attack Protection ¡âA8. CSRF¡âA10. Underprotected APIs Ç׸ñÀº Á¦¿ÜµÆ´Ù.

A4. External Entity(XXE)
XXE´Â ¾ÇÀÇÀûÀÎ ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ ¸·±â À§ÇÑ ÇÊÅÍÀåÄ¡¸¦ ¿ìȸÇÏ´Â Ãë¾àÁ¡ÀÌ´Ù. XML ¹®¼­¿¡¼­ µ¿ÀûÀ¸·Î ¿ÜºÎ URIÀÇ ¸®¼Ò½º¸¦ Æ÷ÇÔ½Ãų ¼ö ÀÖ´Â ¿ÜºÎ ¿£Æ¼Æ¼(Entity)¸¦ »ç¿ëÇÒ ¶§ ¹ß»ýÇÑ´Ù. ¿ÜºÎ ¿£Æ¼Æ¼´Â ÆÄÀÏ URL 󸮱â, ÆÐÄ¡µÇÁö ¾ÊÀº Windows ¼­¹öÀÇ ³»ºÎ SMB ÆÄÀÏ °øÀ¯, ³»ºÎ Æ÷Æ® °Ë»ö, ¿ø°Ý ÄÚµå ½ÇÇà ¹× Billion Laughs °ø°Ý°ú °°Àº ¼­ºñ½º °ÅºÎ °ø°Ý°ú ³»ºÎÆÄÀÏ °ø°³¿¡ ¾Ç¿ëµÉ ¼ö ÀÖ´Ù.

A8. ¾ÈÀüÇÏÁö ¾ÊÀº ¿ªÁ÷·ÄÈ­ Ãë¾àÁ¡(Insecure Deserialization)
ÀÌ Ãë¾àÁ¡Àº ÀÀ¿ë ÇÁ·Î±×·¥ÀÌ ¾ÇÀÇÀûÀÎ Á÷·ÄÈ­µÈ °´Ã¼¸¦ ¹Þ¾ÒÀ» ¶§ ºÒ¾ÈÁ¤ÇÑ Á÷·ÄÈ­ ¿À·ù°¡ ¹ß»ýÇÑ´Ù. ¾ÈÀüÇÏÁö ¾ÊÀº Á÷·ÄÈ­·Î ÀÎÇØ ¿ø°ÝÄڵ尡 ½ÇÇàµÈ´Ù. °ø°ÝÀÚ¿¡ ÀÇÇØ Á÷·ÄÈ­µÈ °³Ã¼°¡ Àç»ý, º¯Á¶, »èÁ¦, »ðÀÔ, °ø°ÝÀÚ ±ÇÇÑ »ó½Â µîÀÇ ¹®Á¦°¡ ¹ß»ýµÉ ¼ö ÀÖ´Ù.

A10. ºÒÃæºÐÇÑ ·Î±ë ¹× ¸ð´ÏÅ͸µ(Insufficient Logging & Monitoring)
ÀÌ Ãë¾àÁ¡Àº ºÒÃæºÐÇÑ ·Î±ë ¹× ¸ð´ÏÅ͸µ°ú »ç°í ´ëÀÀ°úÀÇ ÅëÇÕÀÌ ´©¶ôµÇ°Å³ª ºñÈ¿À²ÀûÀÎ °æ¿ì °ø°ÝÀÚ¿¡ ÀÇÇØ ½Ã½ºÅÛ °ø°ÝÀ¸·Î À̾îÁö°Å³ª µ¥ÀÌÅÍ º¯Á¶¿Í ÃßÃâ, ½ÉÁö¾î Æı«µÉ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ´Ù.

½ÃÅ¥¸®Æ¼Ç÷¯½ºÀÇ ¹ÚÇü±Ù ´ëÇ¥´Â ¡°¾ÆÁ÷ ÃÖÁ¾º»À» Á»´õ ±â´Ù·ÁºÁ¾ß ÇÏ°ÚÁö¸¸, RC1¿¡ ºñÇØ RC2´Â Àü¼¼°è ¸¹Àº º¸¾È Àü¹®°¡µéÀÌ À¥ ¾îÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡¿¡ ´ëÇØ º¸´Ù Á¤È®ÇÑ ÇöÀç »óȲÀ» ÅëÂûÇØ Á¦½ÃÇϱâ À§ÇÑ °á°ú¹°¡±À̶ó¸ç ¡°ÇâÈÄ À¥ ¾îÇø®ÄÉÀÌ¼Ç º¸¾È¿¡ ÀÖ¾î XML»óÀÇ ¿ÜºÎ °´Ã¼ È°¿ë°ú °´Ã¼ Á÷·ÄÈ­¸¦ »ç¿ëÇÏ´Â ºÐ»ê ¼­ºñ½º ȯ°æ¿¡¼­ Ãë¾àÁ¡ ¾Ç¿ë »ç·Ê Áõ°¡¿Í À¥ ¾îÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ Ãë¾àÇÑ ·Î±ë°ú ¸ð´ÏÅ͸µ, ±×¸®°í »ç°í ´ëÀÀ ü°è ³»¿¡¼­ÀÇ °í·Á¿¡ ´ëÇÑ ¾ð±ÞÀº ½Ã»çÇÏ´Â ¹Ù°¡ ¸Å¿ì Å©´Ù¡±°í ¸»Çß´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 1
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)