OWASP TOP 10 (2017)

1. 주입

SQL 주입과 같은 주입 결함은 신뢰할 수 없는 데이터가 명령이나 쿼리의 일부로 인터프리터에 전송될 때 발생됩니다.

공격자의 악의적인 데이터는 인터프리터를 속여 의도하지 않은 명령을 실행하거나 적절한 인증 없이 데이터에
엑세스하도록 할 수 있습니다.

 

 

2. 깨진 인증

인증 및 세션 관리와 관련된 애플리케이션 기능은 잘 못 구현되는 경우가 많아 공격자가 비밀번호 키 또는 세션 토큰을
손상시키거나 기타 구현 결함을 악용하여 일시적 또는 영구적으로 다른 사용자의 신원을 가장할 수 있습니다.

 

 

3. 민감한 데이터 노출

많은 웹 애플리케이션과 API는 금융 의료와 같은 민감한 데이터를 적절하게 보호하지 않습니다.

공격자는 신용카드 사기, 신원 도용 또는 기타 범죄를 저지르기 위해 이렇게 취약하게 보호되는 데이터를

훔치거나 수정할 수 있습니다. 민감한 데이터는 저장 중이거나 전송 중 암호화와 같은 추가 보호 없이
손상될 수 있으며, 브라우저와 교환할 때 특별한 예방 조치가 필요합니다.

 

 

4. XML 외부 엔터티 (XXE)

오래되었거나 잘못 구성된 많은 XML 프로세서는 XML 문서 내의 외부 엔터티 참조를 평가합니다.

외부 엔터티는 파일 URI 처리기 내부 파일 공유 내부 포트 검색 원격 코드 실행 및 서비스 거부 공격을 통해
내부 파일을 공개하는 데 사용될 수 있습니다.

 

 

5. 깨진 액세스 제어

인증된 사용자에게 허용된 작업에 대한 제한이 제대로 적용되지 않는 경우가 많습니다.

공격자는 이러한 결함을 악용하여 다른 사용자의 계정에 액세스하고 중요한 파일을 보고 다른 사용자의 데이터를

수정하고 액세스 권한을 변경하는 등 승인되지 않는 기능 및/또는 데이터에 액세스할 수 있습니다.

 

 

6. 보안 구성 오류

잘못된 보안 구성은 가장 흔히 볼 수 있는 문제입니다. 이는 일반적으로 안전하지 않은 기본 구성 불완전하거나

임시 구성 개방형 클라우드 저장소 잘못 구성된 HTTP 헤더 민감한 정보가 포함된 자세한 오류 메시지로 인해
발생합니다. 모든 운영 체제 프레임워크 라이브러리 및 애플리케이션을 안전하게 구성해야 할 뿐만 아니라
적시에 패치 및 업그레이드 해야 합니다.

 

7. XSS 교차 사이트 스크립팅

XSS 결함은 애플리케이션이 적절한 유효성 검사 또는 이스케이프 처리 없이 새 웹 페이지에 신뢰할 수 없는
데이터를 포함하거나 HTML 또는 JavaScript를 생성할 수 있는 브라우저 API를 사용하여 사용자가 제공한
데이터로 기존 웹 페이지를 업데이트할 때마다 발생합니다.

XSS를 사용하면 공격자는 피해자의 브라우저에서 스크립트를 실행하여 사용자 세션을 가로채거나 웹 사이트를 휍손하거나 사용자를 악성 사이트로 리디렉션 할 수 있습니다.

 

 

8. 안전하지 않는 역직렬화

안전하지 않은 역직렬화는 종종 원격 코드 실행으로 이어집니다. 역직렬화 결함으로 인해 원격 코드가 실행되지 않더라도
재생 공격 주입 공격 권한 상승 공격 등의  공격을 수행하는 데 사용될 수 있습니다.

 

 

9. 알려진 취약점이 있는 구성 요소 사용

라이브러리 프레임워크 및 기타 소프트웨어 모듈과 같은 구성 요소는 애플리케이션과 동일한 권한으로 실행됩니다.

취약한 구성 요소가 악용되는 경우 이러한 공격은 심각한 데이터 손실이나 서버 탈취를 촉진할 수 있습니다.

알려진 취약점이 있는 구성 요소를 사용하는 애플리케이션 및 API는 애플리케이션 방어를 약화시키고 다양한 공격과
영향을 미칠 수 있습니다.

 

 

10. 불충분한 로깅 및 모니터링

불충분한 로깅 및 모니터링과 사고 대응의 누락 또는 비효과적인 통합으로 인해 공격자는 시스템을 추가로 공격하고

지속성을 유지하고 더 많은 시스템으로 전환하고 데이터를 변조 추출 또는 파괴할 수 있습니다.

대부분의 침해 연구에 따르면 침해를 탐지하는 데 걸리는 시간은 200일 이상이며 일반적으로 내부 프로세스나 모니터링이 아닌 외부 당사자에 의해 탐지됩니다.