Home > Àüü±â»ç

2017 OWASP TOP 10 RC2, Çѱ¹¾î ¹öÀüÀ¸·Î ²Ä²ÄÈ÷ »ìÆ캸±â

ÀÔ·Â : 2017-10-28 00:48
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
OWASP, 2017 TOP10 ¹ßÇ¥ Àü ÃÖÁ¾ üũ...ºí·¢ ÆÈÄÜÆÀ Çѱ۹öÀü °ø°³
ÃÖ±Ù 10³â°£ ¾îÇø®ÄÉÀ̼ÇÀÇ ±Þ°ÝÇÑ º¯È­ ¹Ý¿µ...±âÁ¸°ú ´Ù¸¥ »õ·Î¿î À§Çù ¼Ò°³


[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] ±¹Á¦ÀûÀÎ À¥º¸¾È ºÐ¾ßÀÇ ºñ¿µ¸®±â±¸ ¡®OWASP¡¯°¡ ¡®OWASP TOP 10 2017¡¯ÀÇ µÎ ¹ø° RC(Release Candidate) ¹öÀüÀ» ¹ßÇ¥ÇÑ °¡¿îµ¥, ºí·¢ ÆÈÄÜ(Black Falcon) ÆÀ¿¡¼­ ÇÑ±Û ¹ø¿ªº»À» ¸¸µé¾î ¹èÆ÷Çß´Ù.

OWASP´Â Áö±Ý±îÁö °ø°³Çß´ø OWASP¿Í ºñ±³µÉ Á¤µµ·Î ¸¹Àº Çǵå¹éÀ» ¹Þ¾ÒÀ¸¸ç, ÀÌ·Î ÀÎÇØ OWASP TOP 10À» ¼±Á¤ÇÏ´Â °ÍÀÌ ¾ó¸¶³ª Áß¿äÇÑ °ÍÀÎÁö ´Ù½Ã ÇÑ ¹ø ¾Ë ¼ö ÀÖ°Ô µÆ´Ù°í ¼­·ÐÀ» ÅëÇØ ¹àÈ÷°í ÀÖ´Ù. ƯÈ÷, OWASP TOP 10 ÇÁ·ÎÁ§Æ®ÀÇ ¿ø·¡ ¸ñÇ¥°¡ ´Ü¼øÈ÷ °³¹ßÀÚÀÇ ÀνÄÀ» ³ôÀÌ´Â °ÍÀ̾úÁö¸¸, ÀÌÁ¦´Â ¾îÇø®ÄÉÀÌ¼Ç º¸¾ÈÀÇ Ç¥ÁØÀÌ µÇ¾ú´Ù¸ç Á» ´õ ¸¹Àº »ç¶÷µéÀÌ ÇÔ²² Âü¿©ÇØÁÙ °ÍÀ» ¿äûÇß´Ù.

2017³â OWASP Top 10Àº ÁÖ·Î ¾îÇø®ÄÉÀÌ¼Ç º¸¾È ¹× 40°³ ÀÌ»óÀÇ ¼­ºê ¹Ì¼ÇÀ» ¹ÙÅÁÀ¸·Î ÁøÇàµÆ´Ù. ÀÌ µ¥ÀÌÅÍ´Â ¼ö¹é °³ÀÇ Á¶Á÷°ú 10¸¸ °³°¡ ³Ñ´Â ½ÇÁ¦ ¾îÇø®ÄÉÀÌ¼Ç ¹× API¿¡¼­ ¼öÁýµÈ Ãë¾àÁ¡À» Æ÷ÇÔÇÑ´Ù.

ƯÈ÷, 2017³â OWASP Top 10Àº Áö³­ 4³â µ¿¾È ÀÖ¾ú´ø ¸¹Àº º¯È­¿¡ ¸ÂÃç ¹Ù²î¾úÀ¸¸ç, ¾Æ¿¹ OWASP Top 10À» »õ·Ó°Ô ¶â¾î°íÄ¡°í ¹æ¹ý·ÐÀ» °³¼±ÇÑ °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù. ¶ÇÇÑ, »õ·Î¿î µ¥ÀÌÅÍ ÄÝ ÇÁ·Î¼¼½º¸¦ È°¿ëÇØ Ä¿¹Â´ÏƼ¿Í Çù·ÂÇÏ°í À§ÇèÀ» ´Ù½Ã Á¤ÇÑ ÈÄ Ã³À½ºÎÅÍ ´Ù½Ã ÀÛ¼ºÇß´Ù°í ¹àÈ÷°í ÀÖ´Ù.

¡ã OWASP TOP 10 ÀÎÁ§¼Ç[ÀÚ·á=ºí·¢ÆÈÄÜ ÀÌÁöÇý]


¡â ÀÎÁ§¼Ç
SQL, OS, XXE, LDAP ÀÎÁ§¼Ç Ãë¾àÁ¡Àº ½Å·ÚÇÒ ¼ö ¾ø´Â µ¥ÀÌÅÍ°¡ ¸í·É¾î³ª Äõ¸®¹®ÀÇ ÀϺκÐÀÌ ÀÎÅÍÇÁ¸®ÅÍ·Î º¸³»Áú ¶§ ¹ß»ýÇÑ´Ù. °ø°ÝÀÚÀÇ ¾ÇÀÇÀûÀÎ µ¥ÀÌÅÍ´Â ¿¹»óÇÏÁö ¸øÇÏ´Â ¸í·ÉÀ» ½ÇÇàÇϰųª ÀûÀýÇÑ ±ÇÇÑ ¾øÀÌ µ¥ÀÌÅÍ¿¡ Á¢±ÙÇϵµ·Ï ÀÎÅÍÇÁ¸®Å͸¦ ¼ÓÀÏ ¼ö ÀÖ´Ù.

¡ã OWASP TOP 10 Ãë¾àÇÑ ÀÎÁõ[ÀÚ·á=ºí·¢ÆÈÄÜ ÀÌÁöÇý]


¡â Ãë¾àÇÑ ÀÎÁõ
ÀÎÁõ ¹× ¼¼¼Ç °ü¸®¿Í °ü·ÃµÈ ¾îÇø®ÄÉÀÌ¼Ç ±â´ÉÀÌ Á¾Á¾ À߸ø ±¸ÇöµÇ¾î °ø°ÝÀÚ¿¡°Ô Ãë¾àÇÑ ¾ÏÈ£, Å° ¶Ç´Â ¼¼¼Ç ÅäÅ«À» Á¦°ø, ´Ù¸¥ »ç¿ëÀÚÀÇ ±ÇÇÑÀ» (ÀϽÃÀûÀ¸·Î ¶Ç´Â ¿µ±¸ÀûÀ¸·Î) ¾òµµ·Ï ÀͽºÇ÷ÎÀÕÇÑ´Ù.

¡ã OWASP TOP 10 ¹Î°¨Á¤º¸ ³ëÃâ[ÀÚ·á=ºí·¢ÆÈÄÜ ÀÌÁöÇý]


¡â ¹Î°¨Á¤º¸ ³ëÃâ
´ëºÎºÐÀÇ À¥ ¾îÇø®ÄÉÀ̼ǰú API´Â ±ÝÀ¶Á¤º¸, °Ç°­Á¤º¸, °³Àνĺ°Á¤º¸¿Í °°Àº ¹Î°¨Á¤º¸¸¦ Á¦´ë·Î º¸È£ÇÏÁö ¾Ê´Â´Ù. °ø°ÝÀÚ´Â ½Å¿ëÄ«µå»ç±â, ½ÅºÐ µµ¿ë ¶Ç´Â ´Ù¸¥ ¹üÁ˸¦ ¼öÇàÇÏ´Â Ãë¾àÇÑ µ¥ÀÌÅ͸¦ ÈÉÄ¡°Å³ª º¯°æÇÒ ¼ö ÀÖ´Ù. ºê¶ó¿ìÀú¿¡¼­ Áß¿ä µ¥ÀÌÅ͸¦ ÀúÀå ¶Ç´Â Àü¼ÛÇÒ ¶§ Ưº°È÷ ÁÖÀÇÇØ¾ß Çϸç, ¾Ïȣȭ¿Í °°ÀÌ º¸È£Á¶Ä¡¸¦ ÃëÇØ¾ß ÇÑ´Ù.

¡ã OWASP TOP 10 ¿ÜºÎ °³Ã¼(XXE)[ÀÚ·á=ºí·¢ÆÈÄÜ ÀÌÁöÇý]


¡â ¿ÜºÎ °³Ã¼(XXE)
¿À·¡µÈ XML ÇÁ·Î¼¼¼­´Â XML ¹®¼­ ³»¿¡¼­ ¿ÜºÎ °³Ã¼ ÂüÁ¶¸¦ Æò°¡ÇÑ´Ù. ¿ÜºÎ °³Ã¼´Â ÆÄÀÏ URI 󸮱â, ÆÐÄ¡ µÇÁö ¾ÊÀº Windows ¼­¹öÀÇ ³»ºÎ SMB ÆÄÀÏ °øÀ¯, ³»ºÎ Æ÷Æ® °Ë»ö, ¿ø°Ý ÄÚµå ½ÇÇà ¹× Billion Laughs °ø°Ý°ú °°Àº ¼­ºñ½º °ÅºÎ °ø°ÝÀ» »ç¿ëÇØ ³»ºÎ ÆÄÀÏÀ» °ø°³ÇÏ´Â µ¥ »ç¿ëÇÒ ¼ö ÀÖ´Ù.

¡ã OWASP TOP 10 Ãë¾àÇÑ Á¢±Ù ÅëÁ¦[ÀÚ·á=ºí·¢ÆÈÄÜ ÀÌÁöÇý]


¡â Ãë¾àÇÑ Á¢±Ù ÅëÁ¦
ÀÎÁõµÈ »ç¿ëÀÚ°¡ ¼öÇàÇÒ ¼ö ÀÖ´Â ÀÛ¾÷¿¡ ´ëÇÑ Á¦ÇÑÀÌ Á¦´ë·Î Àû¿ëµÇÁö ¾Ê´Â´Ù. °ø°ÝÀÚ´Â ÀÌ·¯ÇÑ Ãë¾àÁ¡À» ¾Ç¿ëÇØ ´Ù¸¥ »ç¿ëÀÚÀÇ °èÁ¤¿¡ Á¢±ÙÇϰųª, Áß¿äÇÑ ÆÄÀÏÀ» º¸°í ´Ù¸¥ »ç¿ëÀÚÀÇ µ¥ÀÌÅ͸¦ ¼öÁ¤Çϰųª, Á¢±Ù ±ÇÇÑÀ» º¯°æÇÏ´Â µî ±ÇÇÑ ¾ø´Â ±â´É ¶Ç´Â µ¥ÀÌÅÍ¿¡ Á¢±ÙÇÒ ¼ö ÀÖ´Ù.

¡ã OWASP TOP 10 º¸¾È ¼³Á¤ ¿À·ù[ÀÚ·á=ºí·¢ÆÈÄÜ ÀÌÁöÇý]


¡â º¸¾È ¼³Á¤ ¿À·ù
º¸¾È ±¸¼º ¿À·ù´Â ¼öµ¿ ¶Ç´Â ad hoc ¼³Á¤(¶Ç´Â ±¸¼ºµÇÁö ¾ÊÀ½), ¾ÈÀüÇÏÁö ¾ÊÀº ±âº» ±¸¼º, ¿­¸° S3 bucket, À߸ø ±¸¼ºµÈ HTTP Çì´õ, ¹Î°¨Á¤º¸°¡ Æ÷ÇÔµÈ ¿À·ù ¸Þ½ÃÁö, ÆÐÄ¡µÇÁö ¾ÊÀº ½Ã½ºÅÛ, ÇÁ·¹ÀÓ¿öÅ© Á¾¼Ó¼º, ÄÄÆ÷³ÍÆ®¸¦ Àû½Ã¿¡ ¾÷±×·¹À̵å ÇÏÁö ¾Ê´Â °ÍÀÌ ÀϹÝÀûÀÌ´Ù.

¡ã OWASP TOP 10 Å©·Î½º»çÀÌÆ® ½ºÅ©¸³ÆÃ(XSS)[ÀÚ·á=ºí·¢ÆÈÄÜ ÀÌÁöÇý]


¡â Å©·Î½º»çÀÌÆ® ½ºÅ©¸³ÆÃ(XSS)
XSS Ãë¾àÁ¡Àº ¾îÇø®ÄÉÀ̼ÇÀÌ ÀûÀýÇÑ À¯È¿¼º °Ë»ç ¶Ç´Â À̽ºÄÉÀÌÇÁ ó¸® ¾øÀÌ »õ À¥ ÆäÀÌÁö¿¡ ½Å·ÚÇÒ ¼ö ¾ø´Â µ¥ÀÌÅ͸¦ Æ÷ÇÔÇϰųª ,JavaScript¸¦ »ý¼ºÇÒ ¼ö ÀÖ´Â ºê¶ó¿ìÀú API¸¦ »ç¿ëÇØ »ç¿ëÀÚ°¡ Á¦°øÇÑ µ¥ÀÌÅÍ·Î ±âÁ¸ À¥ ÆäÀÌÁö¸¦ ¾÷µ¥ÀÌÆ®ÇÑ´Ù. XSS¸¦ »ç¿ëÇÏ¸é °ø°ÝÀÚ°¡ Èñ»ýÀÚÀÇ ºê¶ó¿ìÀú¿¡¼­ »ç¿ëÀÚ ¼¼¼ÇÀ» µµ¿ëÇϰųª À¥»çÀÌÆ®¸¦ º¯Á¶½ÃÅ°°Å³ª ¾Ç¼º »çÀÌÆ®·Î ¸®´ÙÀÌ·º¼Ç ½Ãų ¼ö ÀÖ´Ù.

¡ã OWASP TOP 10 ºÒ¾ÈÀüÇÑ Deserialization[ÀÚ·á=ºí·¢ÆÈÄÜ ÀÌÁöÇý]


¡â ºÒ¾ÈÀüÇÑ Deserialization
¾îÇø®ÄÉÀ̼ÇÀÌ ¾ÇÀÇÀûÀÎ Deserialization °´Ã¼¸¦ ¹ÞÀ¸¸é ¾ÈÀüÇÏÁö ¾ÊÀº Deserialization Ãë¾àÁ¡ÀÌ ¹ß»ýÇϸç, ¾ÈÀüÇÏÁö ¾ÊÀº Serialization·Î ÀÎÇØ ¿ø°ÝÄڵ尡 ½ÇÇàµÈ´Ù. Deserialization Ãë¾àÁ¡À¸·Î ÀÎÇØ ¿ø°Ý Äڵ尡 ½ÇÇàµÇÁö ¾Ê¾Æµµ SerializationµÈ °´Ã¼¸¦ Àç»ý, º¯Á¶ ¶Ç´Â »èÁ¦ÇÏ¿© »ç¿ëÀÚ¸¦ ¼ÓÀ̰ųª ÁÖÀÔ °ø°ÝÀ» ¹Þ°í ±ÇÇÑÀ» °­È­ÇÒ ¼ö ÀÖ´Ù.

¡ã OWASP TOP 10 Àß ¾Ë·ÁÁø Ãë¾àÁ¡ÀÌ ÀÖ´Â ÄÄÆ÷³ÍÆ® »ç¿ë[ÀÚ·á=ºí·¢ÆÈÄÜ ÀÌÁöÇý]


¡â Àß ¾Ë·ÁÁø Ãë¾àÁ¡ÀÌ ÀÖ´Â ÄÄÆ÷³ÍÆ® »ç¿ë
ÄÄÆ÷³ÍÆ®, ¶óÀ̺귯¸®, ÇÁ·¹ÀÓ¿öÅ© ¹× ´Ù¸¥ ¼ÒÇÁÆ®¿þ¾î ¸ðµâÀº ¾îÇø®ÄÉÀ̼ǰú °°Àº ±ÇÇÑÀ¸·Î ½ÇÇàµÈ´Ù. ÀÌ·¯ÇÑ Ãë¾àÇÑ ÄÄÆ÷³ÍÆ®¸¦ ¾Ç¿ëÇØ °ø°ÝÇÏ´Â °æ¿ì ½É°¢ÇÑ µ¥ÀÌÅÍ ¼Õ½ÇÀÌ ¹ß»ýÇϰųª ¼­¹ö°¡ Àå¾ÇµÈ´Ù. ¾Ë·ÁÁø Ãë¾àÁ¡ÀÌ ÀÖ´Â ÄÄÆ÷³ÍÆ®¸¦ »ç¿ëÇÏ´Â ¾îÇø®ÄÉÀ̼ǰú API´Â ¾îÇø®ÄÉÀ̼ÇÀ» ¾àÈ­½ÃÅ°°í ´Ù¾çÇÑ °ø°Ý¿¡ ¿µÇâÀ» ÁÙ ¼ö ÀÖ´Ù.

¡ã OWASP TOP 10 ºÒÃæºÐÇÑ ·Î±ë°ú ¸ð´ÏÅ͸µ[ÀÚ·á=ºí·¢ÆÈÄÜ ÀÌÁöÇý]


¡â ºÒÃæºÐÇÑ ·Î±ë°ú ¸ð´ÏÅ͸µ
ºÒÃæºÐÇÑ ·Î±ë ¹× ¸ð´ÏÅ͸µÀº »ç°í ´ëÀÀÀÇ ´©¶ô ¶Ç´Â ºñÈ¿À²ÀûÀÎ ÅëÇÕ°ú ÇÔ²² °ø°ÝÀÚ°¡ ½Ã½ºÅÛÀ» ´õ °ø°ÝÇÏ°í ´õ ¸¹Àº ½Ã½ºÅÛÀ¸·Î ÇǺ¿Çϸç, µ¥ÀÌÅ͸¦ º¯Á¶³ª ÃßÃ⠶Ǵ Æı«ÇÒ ¼ö ÀÖ´Ù. ´ëºÎºÐÀÇ Ä§ÇØ»ç·Ê´Â ħÇØ°¡ 200ÀÏ ÀÌ»ó °É¸®´Â °ÍÀ» °¨ÁöÇÒ ¼ö ÀÖ´Â ½Ã°£À» º¸¿©ÁÖ¸ç ÀϹÝÀûÀ¸·Î ³»ºÎ ÇÁ·Î¼¼½º³ª ¸ð´ÏÅ͸µº¸´Ù´Â ¿ÜºÎ ´ç»çÀÚ°¡ ŽÁöÇÑ´Ù.

ÇÑÆí, ºí·¢ ÆÈÄÜÆÀÀº ÃֽŠÀͽºÇ÷ÎÀÕ(exploit) ±â¼ú ºÐ¼® ÀÌ¿Ü¿¡ OWASP¿Í °°Àº Áß¿ä ±â¼ú¹®¼­¿¡ ´ëÇÑ ¹ø¿ª ÇÁ·ÎÁ§Æ®¸¦ ÁÖ¿ä °úÁ¦·Î »ï°í ÀÖ´Ù. ºí·¢ ÆÈÄÜÆÀÀº ÀÌ·¯ÇÑ ÀÛ¾÷ÀÌ º¸¾È¿¡ Á¾»çÇÏ´Â »ç¶÷µé¿¡°Ô À¯ÀÍÇÑ ÀÚ·á°¡ µÇ¾úÀ¸¸é ÇÏ´Â ¹Ù¶÷À¸·Î ÇÁ·ÎÁ§Æ®¸¦ ½ÃÀÛÇÏ°Ô µÆ´Ù°í ¹àÇûÀ¸¸ç, ÇöÀç OWASP TOP 10¿Ü¿¡ SANS, Testing Guide µî Áß¿ä ±â¼ú ¹®¼­¸¦ ¹ø¿ª ÁßÀÎ °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 2
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

ÀºÈ¯ 2017.10.30 20:26

ÀߺýÀ´Ï´Ù.


  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)