OWASP Top 10 교육 과정

소개

• OWASP의 개요, 목적 및 웹 보안에서의 중요성
• OWASP Top 10 목록 설명
  • A01:2021-Broken Access Control이 5위에서 상승했습니다. 94%의 애플리케이션이 어떤 형태의 깨진 액세스 제어에 대해 테스트되었습니다. Broken Access Control에 매핑된 34개의 Common Weakness Enumerations(CWE)는 다른 범주보다 애플리케이션에서 더 많이 발생했습니다.
  • A02:2021-암호화 실패는 한 단계 상승하여 #2가 되었는데, 이전에는 민감한 데이터 노출로 알려졌으며, 근본 원인이라기보다는 광범위한 증상이었습니다. 여기서 새롭게 초점을 맞춘 것은 종종 민감한 데이터 노출이나 시스템 손상으로 이어지는 암호화와 관련된 실패입니다.
  • A03:2021-Injection이 3위로 떨어졌습니다. 애플리케이션의 94%가 어떤 형태의 Injection에 대해 테스트되었으며, 이 범주에 매핑된 33개 CWE가 애플리케이션에서 두 번째로 많이 발생했습니다. 이번 에디션에서는 크로스 사이트 스크립팅이 이 범주에 포함되었습니다.
  • A04:2021-안전하지 않은 설계 는 2021년의 새로운 범주로, 설계 결함과 관련된 위험에 초점을 맞춥니다. 업계에서 진정으로 "좌측으로 이동"하려면 위협 모델링, 안전한 설계 패턴 및 원칙, 참조 아키텍처를 더 많이 사용해야 합니다.
  • A05:2021-보안 오설정은 이전 판의 #6에서 상승했습니다. 90%의 애플리케이션이 어떤 형태의 오설정에 대해 테스트되었습니다. 고도로 구성 가능한 소프트웨어로의 전환이 더 많아지면서 이 범주가 상승하는 것은 놀라운 일이 아닙니다. XML 외부 엔터티(XXE)에 대한 이전 범주가 이제 이 범주에 속합니다.
  • A06:2021-취약하고 오래된 구성 요소는 이전에 알려진 취약성이 있는 구성 요소 사용이라는 제목으로, 상위 10개 커뮤니티 설문 조사에서 2위를 차지했지만 데이터 분석을 통해 상위 10위에 들 만큼 충분한 데이터도 있었습니다. 이 범주는 2017년의 9위에서 상승했으며, 우리가 위험을 테스트하고 평가하는 데 어려움을 겪는 알려진 문제입니다. 포함된 CWE에 매핑된 공통 취약성 및 노출(CVE)이 없는 유일한 범주이므로 기본 익스플로잇 및 영향 가중치 5.0이 점수에 반영됩니다.
  • A07:2021-식별 및 인증 실패는 이전에는 깨진 인증이었고 2위에서 하락하고 있으며, 이제 식별 실패와 더 관련이 있는 CWE를 포함합니다. 이 범주는 여전히 상위 10위의 필수적인 부분이지만 표준화된 프레임워크의 가용성이 증가함에 따라 도움이 되는 것 같습니다.
  • A08:2021-소프트웨어 및 데이터 무결성 실패는 무결성을 검증하지 않고 소프트웨어 업데이트, 중요 데이터 및 CI/CD 파이프라인과 관련된 가정을 하는 데 중점을 둔 2021년의 새로운 범주입니다. 이 범주의 10개 CWE에 매핑된 공통 취약성 및 노출/공통 취약성 점수 시스템(CVE/CVSS) 데이터에서 가장 높은 가중치가 적용된 영향 중 하나입니다. 2017년의 안전하지 않은 역직렬화는 이제 이 더 큰 범주의 일부입니다.
  • A09:2021-보안 로깅 및 모니터링 실패는 이전에 불충분한 로깅 및 모니터링이었으며 업계 설문 조사(#3)에서 추가되어 이전의 #10에서 상승했습니다. 이 범주는 더 많은 유형의 실패를 포함하도록 확장되었으며 테스트하기 어렵고 CVE/CVSS 데이터에서 잘 표현되지 않았습니다. 그러나 이 범주의 실패는 가시성, 사고 알림 및 포렌식에 직접적인 영향을 미칠 수 있습니다.
  • A10:2021-서버 측 요청 위조는 상위 10개 커뮤니티 설문 조사(#1)에서 추가되었습니다. 이 데이터는 평균 이상의 테스트 범위와 함께 비교적 낮은 발생률과 Exploit 및 Impact 잠재력에 대한 평균 이상의 평가를 보여줍니다. 이 범주는 현재 데이터에 설명되어 있지 않지만 보안 커뮤니티 구성원이 이것이 중요하다고 말하는 시나리오를 나타냅니다.

Access 제어가 끊어짐

• 깨진 액세스 제어의 실제 사례
• 보안 액세스 제어 및 모범 사례

암호화 실패

• 취약한 암호화 알고리즘이나 부적절한 키 관리와 같은 암호화 실패에 대한 자세한 분석
• 강력한 암호화 메커니즘, 보안 프로토콜(SSL/TLS)의 중요성 및 웹 보안에서의 현대 암호화의 예

주입 공격

• SQL, NoSQL, OS 및 LDAP 주입의 세부적인 분석
• 준비된 명령문, 매개변수화된 쿼리 및 이스케이프 입력을 사용한 완화 기술

안전하지 않은 디자인

• 부적절한 입력 검증과 같은 취약점으로 이어질 수 있는 설계 결함 탐색
• 보안 아키텍처 및 보안 설계 원칙을 위한 전략

보안 오류

• 잘못된 구성의 실제 사례
• 구성 관리 및 자동화 도구를 포함한 잘못된 구성을 방지하기 위한 단계

취약하고 오래된 구성 요소

• 취약한 라이브러리 및 프레임워크 사용 시 위험 식별
• 종속성 관리 및 업데이트를 위한 모범 사례

식별 및 인증 실패

• 일반적인 인증 문제
• 다중 인증 요소 및 적절한 세션 처리와 같은 보안 인증 전략

소프트웨어 및 데이터 무결성 실패

• 신뢰할 수 없는 소프트웨어 업데이트 및 데이터 변조와 같은 문제에 집중하세요
• 안전한 업데이트 메커니즘 및 데이터 무결성 검사

보안 로깅 및 모니터링 실패

• 보안 관련 정보 로깅과 의심스러운 활동 모니터링의 중요성
• 침해를 조기에 감지하기 위한 적절한 로깅 및 실시간 모니터링을 위한 도구 및 관행

서버 측 요청 위조(SSRF)

• 공격자가 SSRF 취약점을 악용하여 내부 시스템에 액세스하는 방법에 대한 설명
• 적절한 입력 검증 및 방화벽 구성을 포함한 완화 전략

모범 사례 및 보안 코딩

• 보안 코딩을 위한 모범 사례에 대한 포괄적인 토론
• 취약성 탐지 도구

요약 및 다음 단계