OWASP

위키백과, 우리 모두의 백과사전.
이동: 둘러보기, 검색

OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트이다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표하였다.

OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하여 2004년, 2007년, 2010년을 기준으로 발표되었고, 문서가 공개되었다.

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Top Ten Overview (2010)[편집]

A1: Injection
SQL, OS, LDAP 인젝션과 같은 인젝션 결함은 신뢰할 수 없는 데이터가 명령어나 질의어의 일부분으로써 인터프리터에 보내질 때 발생한다. 공격자의 악의적인 데이터는 예기치않은 명령 실행이나 권한없는 데이터에 접근하도록 인터프리터를 속일 수 있다.
A2: Cross-Site Scripting (XSS)
XSS 결함은 적절한 확인이나 제한없이 애플리케이션이 신뢰할 수 없는 데이터를 갖고, 그것을 웹브라우저에 보낼 때 발생한다. XSS는 공격자가 피해자의 브라우저 내에서 스크립트의 실행을 허용함으로써, 사용자의 세션을 탈취하거나, 웹사이트를 변조하거나, 악의적인 사이트로 사용자를 리다이렉트할 수 있다.
A3: Broken Authentication and Session Management
인증과 세션 관리와 연관된 애플리케이션 기능은 종종 올바로 구현되지 않는다. 그 결과, 공격자로 하여금 다른 사용자의 아이덴터티로 가장 할 수 있도록 패스워드, 키, 세션 토큰 체계를 위태롭게하거나, 구현된 다른 결함들을 악용할 수 있도록 허용한다.
A4: Insecure Direct Object References
직접 객체 참조는 파일, 디렉토리, 데이터베이스 키와 같이 내부적으로 구현된 객체에 대해 개발자가 참조를 노출할 때 발생힌다.접근통제에 의한 확인이나 다른 보호가 없다면, 공격자는 이 참조를 권한 없는 데이터에 접근하기 위해 조작할 수 있다.
A5: Cross-Site Request Forgery (CSRF)
CSRF 공격은 로그온 된 피해자의 브라우저가 취약한 웹애플리케이션에 피해자의 세션 쿠키와 어떤 다른 자동으로 포함된 인증 정보를 갖고 변조된 HTTP 요청을 보내도록 강제한다. 이것은 공격자가 피해자의 브라우저로 하여금 취약한 애플리케이션이 피해자로부터의 정당한 요청이라고 착각하게 만드는 요청들을 생성하도록 강제하는 것을 허용한다.
A6: Security Misconfiguration
훌륭한 보안은 애플리케이션, 프레임워크, 애플리케이션서버, 웹서버, 데이터베이스 서버와 플랫폼에 대해 보안 구성이 정의되고 적용하기를 요구한다. 대부분이 보안을 기본적으로 탑재되지 않기 때문에 이 모든 설정은 정의되고, 구현되고, 유지되어야만 한다. 이것은 애플리케이션에서 사용되는 모든 코드 라이브러리를 포함하여 모든 소프트웨어가 최신의 상태를 유지하는 것을 포함한다.
A7: Insecure Cryptographic Storage
많은 웹애플리케이션들이 적절한 암호나 해쉬를 갖고 신용카드번호, 주민등록번호, 그리고 인증 신뢰 정보와 같은 민감한 데이터를 적절히 보호하지 않는다. 공격자는 아이덴티티 도난, 신용카드사기, 또는 다른 범죄를 저지르기 위해 그렇게 약하게 보호된 데이터를 훔치거나 조작할 지 모른다.
A8: Failure to Restrict URL Access
많은 웹애플리케이션들이 보호된 링크나 버튼을 표현하기 전에 URL 접근 권한을 확인한다. 그러나, 애플리케이션은 이 페이지들이 접근될 때마다 매번 유사한 접근 통제 확인이 필요하다. 공격자는 이 감춰진 페이지에 접근하기 위해 URL을 변조시킬 수 있다.
A9: Insufficient Transport Layer Protection
애플리케이션은 종종 민감한 네트워크 트래픽의 인증, 암호화, 그리고 비밀성과 무결성을 보호하는데 실패한다. 실패할 때에는 대체로 약한 알고리즘을 사용하거나, 만료되거나 유효하지 않은 인증서를 사용하거나 또는 그것들을 올바로 사용하지 않을 때이다.
A10: Unvalidated Redirects and Forwards
웹애플리케이션은 종종 사용자들을 다른 페이지로 리다이렉트하거나 포워드한다. 그러나, 목적 페이지를 결정하기 위해 신뢰되지 않는 데이터를 사용한다.적절한 확인이 없다면, 공격자는 피해자를 피싱 사이트나 악의적인 사이트로 리다이렉트 할 수 있고, 포워드를 권한 없는 페이지의 접근을 위해 사용할 수 있다.

Top Ten Overview (2007)[편집]

A1 - Cross Site Scripting (XSS)

A2 - Injection Flaws

A3 - Malicious File Execution

A4 - Insecure Direct Object Reference

A5 - Cross Site Request Forgery (CSRF)

A6 - Information Leakage and Improper Error Handling

A7 - Broken Authentication and Session Management

A8 - Insecure Cryptographic Storage

A9 - Insecure Communications

A10 - Failure to Restrict URL Access

Top Ten Overview (2004)[편집]

A1 2004 Unvalidated Input

A2 2004 Broken Access Control

A3 2004 Broken Authentication and Session Management

A4 2004 Cross Site Scripting

A5 2004 Buffer Overflow

A6 2004 Injection Flaws

A7 2004 Improper Error Handling

A8 2004 Insecure Storage

A9 2004 Application Denial of Service

A10 2004 Insecure Configuration Management

바깥 고리[편집]