http://blog.naver.com/realnaut/120194674767
OWASP(The Open Web Application Security Project)에서 3년 마다 발표하는 2013년도 버전 입니다.
‘A9 Using Known Vulnerable Components’는 2013년도에 새로 추가된 항목 입니다.
A1- Injection
인젝션
SQL삽입, 명령어삽입, LDAP삽입과 같은 취약점이 포함되며, 주요원인은 신뢰
할 수 없는 외부 값에 의해 발생되며, 명령어실행 또는 접근이 불가한 데이터에 대한 접근 등의 취약점을 발생시킵니다.
A2 – Broken Authentication and Session Management
취약한 인증 및 세션 관리
인증과 세션관리와 관련된 어플리케이션의 비정상적읶 동작으로 인해 패스워드, 키, 세션토큰 및 사용자도용과 같은 취약점을 발생시킵니다.
A3 – XSS
크로스사이트스크립트
신뢰할 수 없는 외부 값을 적젃한 검증 없이 웹 브라우저로 젂송하는 경우 발생되는 취약점으로, 사용자세션을 가로채거나, 홈페이지 변조, 악의적인 사이트 이동 등의 공격을 수행할 수 있습니다.
A4 – Insecure Direct Object References
안전하지 않은 객체참조
파일, 디렉토리, 데이터베이스 키와 같은 내부적으로 처리되는 오브젝트가 노출되는 경우 , 다욲로드 취약점 등을 이용하여 시스템 파읷에 접근하는 취약점 등을 의미합니다.
A5 – Security Misconfiguration
보안구성 오류
어플리케이션, 프레임워크, 어플리케이션서버, 데이터베이스서버, 플랫폼 등에 보앆설정을 적젃하게 설정하고, 최적화된 값으로 유지하며, 또한 소프트웨어는 최신의 업데이트 상태로 유지하여야 합니다.
A6 – Sensitive Data Exposure
민감한 데이터 노출
대다수의 웹 어플리케이션은 카드번호 등과 같은 개읶정보를 적젃하게 보호하고 있지 않기 때문에, 개읶정보유출과 같은 취약점이 발생되고 있습니다.
이를 보완하기 위해서는 데이터저장 시 암호화 및 데이터 전송 시에도 SSL 등을 이용하여야 합니다.
A7 – Missing Function Level Access Control
가상적으로는 UI 에서 보여지는 특정기능을 수행 전, 기능접근제한권한을 검증해야 하나, 어플리케이션은 각 기능에 대한 접근 시 동일한 접근통제검사 수행이 요구됩니다. 만일 적절하게 수행되지 않는 경우 공격자는 비인가된 기능에 접근하기 위해, 정상적인 요청을 변조할 수도 있습니다.
A8 – CSRF
CROSS SITE REQUEST FORGERY
로그온된 피해자의 웹 브라우저를 통해, 세션쿠키 및 기타 다른 인증정보가 포함된 변조된 HTTP 요청을 젂송시켜, 정상적읶 요청처럼 보이게 하는 기법으로 물품구매, 사이트 글 변조 등의 악의적읶 행동을 하는 취약점을 의미합 니다.
A9 – Using Components with Known Vulnerabilities
알려진 취약점과 컴포넌트 사용
슈퍼유저권한으로 운영되는 취약한 라이브러리, 프레임워크 및 기타 다른 소프트웨어 모듈로 읶해 데이터유실 및 서버 권한획득과 같은 취약성이 존재 합니다.
A10 – Unvalidated Redirects and Forwards
검증되지 않은 포워드, 리디렉션
웹 어플리케이션에 접속한 사용자를 다른 페이지로 분기 시키는 경우, 이동되는 목적지에 대한 검증부재 시, 피싱, 악성코드 사이트 등의 접속 및 인가되지 않는 페이지 접근 등의 문제점을 일으킬 수 있습니다.
'기술자료 > 기술운영자료' 카테고리의 다른 글
| 사물인터넷(IoT) 플랫폼, 누가 잡을까 (0) | 2016.03.12 |
|---|---|
| 그래픽카드에 이어 서버까지 잠식하는... (0) | 2016.03.12 |
| 국가사이버안전센터(NCSC) 8대 보안취약점 (0) | 2016.03.12 |
| 레드햇, 오라클 마이SQL 버리나 (0) | 2016.03.12 |
| 기업은 왜 사이버 범죄와의 전쟁에서 패하는가? (0) | 2016.03.12 |