[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] ºñ¿µ¸®Àç´ÜÀÎ OWASP°¡ ¡®OWASP(The Open Web Application Security Project) TOP10 2017 RC2¡¯¸¦ ¹ßÇ¥Çß´Ù.
[À̹ÌÁö=OWASP Top 10 2017 ¹ßÇ¥ ĸó ȸé]
À̹ø¿¡ ¹ßÇ¥µÈ RC(Release Candidate) 2´Â Áö³ 9¿ù °ø°³µÈ ¡®OWASP TOP10 2017 RC1¡¯ÀÇ ´ÙÀ½ ´Ü°èÀÌÀÚ ÃÖÁ¾ Á¤½Ä¹öÀüÀÇ ¹Ù·Î Àü ´Ü°è·Î Çǵå¹éÀ» ¹Þ±â À§ÇØ ¹Ì¸® °ø°³ÇÏ´Â ¹öÀüÀÌ´Ù.
ÀÌ´Â ³»ºÎ ÀúÀÚµéÀÌ 1Â÷ÀûÀ¸·Î RC1À» ÀÛ¼ºÇÏ°í, ¼ö¸¹Àº ¿ÜºÎ Àü¹®°¡µéÀÇ ¿©·¯ °ËÁõÀ» °ÅÄ¡¸ç ÃÖÁ¾ Á¤½Ä¹öÀü±îÁö ¹ßÀü½ÃÄÑ ³ª°¡±â À§Çؼ ÁøÇàµÈ´Ù°í º¼ ¼ö ÀÖ´Ù. ¹«¾ùº¸´Ù º¸¾ÈÀ§Çù¿¡ ´ëÇØ º¸´Ù Àü¹®ÀûÀÌ°í ½Å·Ú¼º ÀÖ´Â Á¤º¸¸¦ ÃëÇÕÇÔÀ¸·Î½á º¸¾ÈÀ§Çù Çؼҿ¡ ±â¿©Çϱâ À§ÇØ ÁøÇàµÇ´Â °ÍÀÌ´Ù.
RC2¿¡¼ »õ·Ó°Ô ¼±Á¤µÈ º¸¾È Ãë¾àÁ¡Àº ¡âA4. XML External Entity ¡âA8. Insecure Deserialization ¡âA10. Insufficient Logging & Monitoring 3°¡Áö Ç׸ñÀÌ´Ù. ¹Ý¸é, RC1¿¡¼ ¹ßÇ¥µÆ´ø ¡âA7. Insufficient Attack Protection ¡âA8. CSRF¡âA10. Underprotected APIs Ç׸ñÀº Á¦¿ÜµÆ´Ù.
A4. External Entity(XXE)
XXE´Â ¾ÇÀÇÀûÀÎ ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ ¸·±â À§ÇÑ ÇÊÅÍÀåÄ¡¸¦ ¿ìȸÇÏ´Â Ãë¾àÁ¡ÀÌ´Ù. XML ¹®¼¿¡¼ µ¿ÀûÀ¸·Î ¿ÜºÎ URIÀÇ ¸®¼Ò½º¸¦ Æ÷ÇÔ½Ãų ¼ö ÀÖ´Â ¿ÜºÎ ¿£Æ¼Æ¼(Entity)¸¦ »ç¿ëÇÒ ¶§ ¹ß»ýÇÑ´Ù. ¿ÜºÎ ¿£Æ¼Æ¼´Â ÆÄÀÏ URL 󸮱â, ÆÐÄ¡µÇÁö ¾ÊÀº Windows ¼¹öÀÇ ³»ºÎ SMB ÆÄÀÏ °øÀ¯, ³»ºÎ Æ÷Æ® °Ë»ö, ¿ø°Ý ÄÚµå ½ÇÇà ¹× Billion Laughs °ø°Ý°ú °°Àº ¼ºñ½º °ÅºÎ °ø°Ý°ú ³»ºÎÆÄÀÏ °ø°³¿¡ ¾Ç¿ëµÉ ¼ö ÀÖ´Ù.
A8. ¾ÈÀüÇÏÁö ¾ÊÀº ¿ªÁ÷·ÄÈ Ãë¾àÁ¡(Insecure Deserialization)
ÀÌ Ãë¾àÁ¡Àº ÀÀ¿ë ÇÁ·Î±×·¥ÀÌ ¾ÇÀÇÀûÀÎ Á÷·ÄÈµÈ °´Ã¼¸¦ ¹Þ¾ÒÀ» ¶§ ºÒ¾ÈÁ¤ÇÑ Á÷·ÄÈ ¿À·ù°¡ ¹ß»ýÇÑ´Ù. ¾ÈÀüÇÏÁö ¾ÊÀº Á÷·ÄÈ·Î ÀÎÇØ ¿ø°ÝÄڵ尡 ½ÇÇàµÈ´Ù. °ø°ÝÀÚ¿¡ ÀÇÇØ Á÷·ÄÈµÈ °³Ã¼°¡ Àç»ý, º¯Á¶, »èÁ¦, »ðÀÔ, °ø°ÝÀÚ ±ÇÇÑ »ó½Â µîÀÇ ¹®Á¦°¡ ¹ß»ýµÉ ¼ö ÀÖ´Ù.
A10. ºÒÃæºÐÇÑ ·Î±ë ¹× ¸ð´ÏÅ͸µ(Insufficient Logging & Monitoring)
ÀÌ Ãë¾àÁ¡Àº ºÒÃæºÐÇÑ ·Î±ë ¹× ¸ð´ÏÅ͸µ°ú »ç°í ´ëÀÀ°úÀÇ ÅëÇÕÀÌ ´©¶ôµÇ°Å³ª ºñÈ¿À²ÀûÀÎ °æ¿ì °ø°ÝÀÚ¿¡ ÀÇÇØ ½Ã½ºÅÛ °ø°ÝÀ¸·Î À̾îÁö°Å³ª µ¥ÀÌÅÍ º¯Á¶¿Í ÃßÃâ, ½ÉÁö¾î Æı«µÉ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ´Ù.
½ÃÅ¥¸®Æ¼Ç÷¯½ºÀÇ ¹ÚÇü±Ù ´ëÇ¥´Â ¡°¾ÆÁ÷ ÃÖÁ¾º»À» Á»´õ ±â´Ù·ÁºÁ¾ß ÇÏ°ÚÁö¸¸, RC1¿¡ ºñÇØ RC2´Â Àü¼¼°è ¸¹Àº º¸¾È Àü¹®°¡µéÀÌ À¥ ¾îÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡¿¡ ´ëÇØ º¸´Ù Á¤È®ÇÑ ÇöÀç »óȲÀ» ÅëÂûÇØ Á¦½ÃÇϱâ À§ÇÑ °á°ú¹°¡±À̶ó¸ç ¡°ÇâÈÄ À¥ ¾îÇø®ÄÉÀÌ¼Ç º¸¾È¿¡ ÀÖ¾î XML»óÀÇ ¿ÜºÎ °´Ã¼ È°¿ë°ú °´Ã¼ Á÷·Äȸ¦ »ç¿ëÇÏ´Â ºÐ»ê ¼ºñ½º ȯ°æ¿¡¼ Ãë¾àÁ¡ ¾Ç¿ë »ç·Ê Áõ°¡¿Í À¥ ¾îÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ Ãë¾àÇÑ ·Î±ë°ú ¸ð´ÏÅ͸µ, ±×¸®°í »ç°í ´ëÀÀ ü°è ³»¿¡¼ÀÇ °í·Á¿¡ ´ëÇÑ ¾ð±ÞÀº ½Ã»çÇÏ´Â ¹Ù°¡ ¸Å¿ì Å©´Ù¡±°í ¸»Çß´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>