º¸¾È´º½º â°£ 17ÁÖ³âÀ» ÃàÇÏÇÕ´Ï´Ù!!

Home > Àüü±â»ç

OWASP, 2017³â Top 10 Ãë¾àÁ¡ ¹ßÇ¥

ÀÔ·Â : 2017-11-22 11:23
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
CSRF Ãë¾àÁ¡Àº ¸ñ·Ï¿¡¼­ Á¦¿Ü, XSSµµ ¼øÀ§ ¶³¾îÁ®
XXE Ãë¾àÁ¡ ¹× ¿ªÁ÷·ÄÈ­ ¿À·ù »õ·Ó°Ô ¼øÀ§ ÁøÀÔ


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] OWASPÀÌ ¼ö°³¿ù µ¿¾È ÁøÇàµÈ °ËÅä ³¡¿¡ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È Ãë¾àÁ¡ ¼øÀ§¸¦ °ø½Ä ¹ßÇ¥Çß´Ù. À̸¥¹Ù OWASP Top 10 Ãë¾àÁ¡ ¸ñ·ÏÀ̶ó°í Çϴµ¥, Áö³­ ¹ø¿¡ °ø°³µÈ ¸ñ·Ï¿¡¼­ ¼¼ °¡Áö Ãë¾àÁ¡ÀÌ ¹Ù²î±âµµ Çß´Ù.

[À̹ÌÁö = iclickart]


ÀÏ´Ü ¿ÃÇØÀÇ Top 10¿¡¼­ »óÀ§¸¦ Â÷ÁöÇÑ °Ç ÀÌÀü°ú ¸¶Âù°¡Áö·Î ÁÖÀÔ½Ä °ø°ÝÀÌ °¡´ÉÇÑ Ãë¾àÁ¡µéÀÌ´Ù. SQL ÀÎÁ§¼Ç Ãë¾àÁ¡°ú LDAP ÀÎÁ§¼Ç Ãë¾àÁ¡ÀÌ °¡Àå ³ôÀº ¼øÀ§¸¦ ±â·ÏÇß´Ù. ±× µÚ·Î´Â À߸ø ±¸ÃàµÈ ÀÎÁõ ¹× ¼¼¼Ç °ü¸® ±â´É¿¡¼­ÀÇ Ãë¾àÁ¡µéÀÌ ²ÅÇû´Ù. ¹Ý¸é 2013³â ¸ñ·Ï¿¡¼­ 3À§¸¦ Â÷ÁöÇß´ø XSS´Â 7À§·Î ¶³¾îÁ³°í, ºñ½ÁÇÑ CSRFÀÇ °æ¿ì ¾Æ¿¹ À̹ø Top 10 ¸ñ·Ï¿¡¼­ Á¦¿ÜµÆ´Ù.

À̹ø ¸ñ·ÏÀ» ÅëÇØ Ã³À½ OWASP Top 10¿¡ µîÀåÇÑ Ãë¾àÁ¡µé ¼¼ °³ Áß Çϳª´Â XXE¶ó´Â Ç׸ñÀ¸·Î ºÐ·ùµÉ ¼ö ÀÖ´Ù°í OWASPÀº ¼³¸íÇÑ´Ù. XXE¶õ XML external entities(XML ¿ÜºÎ °´Ã¼)ÀÇ Áظ»·Î ¾÷µ¥ÀÌÆ®°¡ µÇÁö ¾Ê¾Ò°Å³ª À߸ø ¼³Á¤µÈ XML ÇÁ·Î¼¼¼­¿Í °ü·ÃµÈ Ãë¾àÁ¡µéÀÌ´Ù. ³ª¸ÓÁö µÎ °³´Â ¿ªÁ÷·ÄÈ­(deserialization) ¿À·ùµé·Î ÀͽºÇ÷ÎÀÕ µÉ °æ¿ì ¿ø°Ý¿¡¼­ ÄÚµå ½ÇÇàÀ» °¡´ÉÇÏ°Ô ÇØÁØ´Ù.

OWASPÀº º¸¾È Ä¿¹Â´ÏƼÀÇ Çǵå¹éÀ» ÅëÇØ Top 10 ¸ñ·ÏÀ» ¼öÁ¤ÇÏ°í ¾÷µ¥ÀÌÆ® Çß´Ù°í ¹àÇû´Ù. ¶ÇÇÑ 500¸íÀÇ Àü¹®°¡ÀÇ Á¶¾ðÀ» ¼ö·ÅÇÏ°í, 10¸¸°³ ¾ÖÇø®ÄÉÀ̼ÇÀ¸·ÎºÎÅÍ ¼öÁýÇÑ °¢Á¾ Ãë¾àÁ¡µéÀ» ºÐ¼®ÇÑ °á°ú¶ó°íµµ ¼³¸íÇß´Ù.

OWASPÀÇ Top 10 Ãë¾àÁ¡ ¸ñ·ÏÀº À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÀ» ´ã´çÇÏ´Â ½Ç¹«Àڵ鿡°Ô ÀÖ¾î ¸Å¿ì Áß¿äÇÑ ÀÚ·á·Î¼­ÀÇ ¿ªÇÒÀ» ÇØ¿Ô´Ù. º¸¾È À§ÇùµéÀÌ È«¼öó·³ ½ñ¾ÆÁö´Â °¡¿îµ¥ ¿ì¼±¼øÀ§¸¦ µÎ°í º¸¾ÈÀ» °­È­ÇÒ ¼ö ÀÖµµ·Ï ÇØÁÖ¾ú±â ¶§¹®ÀÌ´Ù. ÇÏÁö¸¸ ÀÌ·¯ÇÑ Ãë¾àÁ¡ ¼øÀ§ ¸ñ·Ï ÀÛ¾÷ ÀÚü¿¡ ³í¶õÀÌ ¾ø´Â °Íµµ ¾Æ´Ï´Ù.

º¸¾È ¾÷ü ¼¾Æ¼³Ú¿ø(SentinelOne)ÀÇ ÃÖ°í Àü·« Ã¥ÀÓÀÚÀÎ ¿¹·¹¹Ì¾ß ±×·Î½º¸¸(Jeremiah Grossman)Àº ¡°³Ê¹« ¡®ÃÖ±Ù ¾ÖÇø®ÄÉÀ̼ǵ鿡¸¸¡¯ ÁýÁߵǾî ÀÖ´Â ´À³¦ÀÌ ÀÖ¾î, Á¶±Ý ö Áö³­ ·¹°Å½Ã(legacy) ¾ÖÇø®ÄÉÀ̼ǵéÀ» ¸¹ÀÌ »ç¿ëÇÏ´Â Á¶Á÷¿¡¼­´Â ÁÖÀÇÇØ¾ß ÇÒ ÇÊ¿ä°¡ ÀÖ´Ù¡±°í ÁöÀûÇÑ´Ù. ¡°CSRF°¡ À̹ø Ãë¾àÁ¡ ¸ñ·Ï¿¡¼­ Á¦¿ÜµÇ¾ú´Ù´Â °Ç ¿¹»ó ¹ÛÀÇ ÀÏÀÔ´Ï´Ù. ÇÏÁö¸¸ CSRF Ãë¾àÁ¡Àº Áö±Ýµµ È°¹ßÇÏ°Ô ÀͽºÇ÷ÎÀÕ µÇ°í ÀÖ´Â ÁßÀÌÁÒ. ¹Ý¸é XXE´Â ±×¸® ÈçÇÑ ¿À·ù°¡ ¾Æ´ÏÁÒ.¡±

±×·¯¹Ç·Î ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È¿¡ ÀÖ¾î ½Ã´ë°¡ º¯ÇÏ°í ÀÖ´Ù´Â °É ¾Ë·ÁÁشٴ Ãø¸é¿¡¼­´Â ÁÁÀº ÀÚ·á¶ó°í ¿¹·¹¹Ì¾ß´Â ¸»ÇÑ´Ù. ¡°¸» ±×´ë·Î Top 10 ¸ñ·ÏÀÔ´Ï´Ù. ¸ðµç Ãë¾àÁ¡µé Áß 10°¡Áö¸¸ »ÌÀº °ÅÁÒ. ÀÌ »ç½ÇÀ» °£°úÇÏ¸é ¾È µË´Ï´Ù. À̰͸¸ ÁöÅ°¸é ¾ÈÀüÇØÁö´Â °Ô ¾Æ´Ï°í, ÀÌÀü Top 10 ¸ñ·Ï°ú ÇÔ²² ¿­¶÷ÇÑ´Ù¸é ¸Å¿ì ±ÍÁßÇÑ ÀÚ·áÀÓ¿¡´Â Ʋ¸²¾ø½À´Ï´Ù.¡±

¶Ç ´Ù¸¥ º¸¾È¾÷ü ¾ÆÄ«¸¶ÀÌ(Akamai)ÀÇ ¼ö¼® ¿¬±¸¿øÀÎ ¶óÀ̾ð ¹Ù³Ý(Ryan Barnett) ¿ª½Ã ¡°CSRF°¡ ¹Ð·Á³µ´Ù´Â °ÍÀÌ ³î¶ø´Ù¡±´Â ÀÔÀåÀÌ´Ù. °Ô´Ù°¡ XSS Ãë¾àÁ¡ ¼øÀ§°¡ ³·¾ÆÁ³´Ù´Â °Íµµ ¿¹»óÄ¡ ¸øÇß´Ù°í ÇÑ´Ù. ¡°XSS¿Í CSRF´Â ¿©·¯ ´Ü°è·Î ³ª´²Áö´Â °ø°ÝÀÇ ½Ã¹ßÁ¡ÀÌ µÇ°Å³ª Áß°£ ´Ù¸®¸¦ ³õ¾ÆÁÖ´Â ¿ªÇÒÀ» ÇÑ´Ù´Â Á¡¿¡¼­ Çö´ë ¾ÖÇø®ÄÉÀÌ¼Ç »ýÅ°èÀÇ Å« À§ÇùÀε¥ ¸»ÀÌÁÒ.¡±

±×°Í ¿Ü¿¡µµ »ç½Ç»ó Á¤Àû ¹× µ¿Àû ÄÚµå ºÐ¼®°ú ÀϺΠ¾÷üµéÀÇ Ä§Åõ Å×½ºÆ® °á°ú¸¸À» ¹Ý¿µÇØ ¸ñ·ÏÀ» ¸¸µé¾ú´Ù´Â °Íµµ ¹Ù³Ý¿¡°Ô ¿ì·ÁµÇ´Â ºÎºÐÀÌ´Ù. ¡°ÀÌ Ãë¾àÁ¡ ¸ñ·ÏÀº ¡®¾ó¸¶³ª ¸¹ÀÌ Á¸ÀçÇϴ°¡¡¯¸¦ ¹Ý¿µÇÏ´Â °ÍÀÌÁö ¡®¾ó¸¶³ª °ø°Ý °¡´É¼ºÀÌ ³ôÀº°¡¡¯¸¦ ¹Ý¿µÇÑ´Ù°í º¼ ¼ö´Â ¾ø½À´Ï´Ù. ´ÙÀ½ ¸ñ·Ï ÀÛ¼º ¶§´Â À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¹æÈ­º® ¾÷üµéµµ Âü°¡ÇØ ÀÇ°ßÀ» ¹Ý¿µÇßÀ¸¸é ÁÁ°Ú½À´Ï´Ù.¡±

OWASPÀÌ »õ·Ó°Ô ¹ßÇ¥ÇÑ Top 10 Ãë¾àÁ¡ À¯ÇüÀº 1) ÀÎÁ§¼Ç Á¾·ùÀÇ Ãë¾àÁ¡, 2) À߸øµÈ ÀÎÁõ °úÁ¤, 3) ¹Î°¨ÇÑ µ¥ÀÌÅÍ ³ëÃâ, 4) XXE Ãë¾àÁ¡, 5) Á¢±Ù ÅëÁ¦ ¿À·ù, 6) º¸¾È ¼³Á¤ ¿À·ù, 7) XSS Ãë¾àÁ¡, 8) ºÒ¾ÈÀüÇÑ ¿ªÁ÷¿­È­, 9) ¾Ë·ÁÁø Ãë¾àÁ¡µéÀ» Æ÷ÇÔÇÑ ¿ä¼Òµé, 10) ºÒÃæºÐÇÑ ·Î±ë ¹× ¸ð´ÏÅ͸µÀÌ´Ù. º¸´Ù »ó¼¼ÇÑ ³»¿ëÀº ´ÙÀ½ ¸µÅ©¸¦ ÅëÇØ ¿­¶÷ÇÒ ¼ö ÀÖ´Ù.
https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf

Copyrighted 2015. UBM-Tech. 117153:0515BC
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 1
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ À§Áîµð¿£¿¡½º 2018 ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö
¼³¹®Á¶»ç
<º¸¾È´º½º>ÀÇ º¸¾ÈÀü¹® ±âÀÚµéÀÌ ¼±Á¤ÇÑ 2024³â ÁÖ¿ä º¸¾È Å°¿öµå °¡¿îµ¥ °¡Àå Æı޷ÂÀÌ Å¬ °ÍÀ¸·Î º¸´Â À̽´´Â?
Á¡Á¡ ´õ Áö´ÉÈ­µÇ´Â AI º¸¾È À§Çù
¼±°ÅÀÇ ÇØ ¸ÂÀº ÇÙƼºñÁò °ø°Ý
´õ¿í °­·ÂÇØÁø ·£¼¶¿þ¾î »ýÅ°è
Á¡Á¡ ´õ ´Ù¾çÇØÁö´Â ½ÅÁ¾ ÇÇ½Ì °ø°Ý
»çȸ±â¹Ý½Ã¼³ °ø°Ý°ú OT º¸¾È À§Çù
´õ¿í ½ÉÇØÁö´Â º¸¾ÈÀη ºÎÁ· ¹®Á¦
Á¦·ÎÆ®·¯½ºÆ®¿Í °ø±Þ¸Á º¸¾È
°¡¼ÓÈ­µÇ´Â Ŭ¶ó¿ìµå·ÎÀÇ Àüȯ°ú ÀÌ¿¡ µû¸¥ º¸¾ÈÀ§Çù
¸ð¹ÙÀÏ È°¿ëÇÑ º¸ÀÎÀÎÁõ È°¼ºÈ­¿Í ÀÎÁõº¸¾È À̽´
AI CCTVÀÇ ¿ªÇÒ È®´ë