문의를 보내주셔서 감사합니다! 팀원이 곧 연락드리겠습니다.
예약을 보내주셔서 감사합니다! 저희 팀 멤버 중 한 분이 곧 연락드리겠습니다.
코스 개요
소개
- OWASP, 그 목적 및 웹 보안에서의 중요성에 대한 개요
- OWASP Top 10 목록 설명
- A01:2021-Broken Access Control 은 다섯 번째 순위에서 올라와 94%의 애플리케이션에서 일부 형태의 접근 제어 문제가 검사되었습니다. Broken Access Control에 매핑된 34개의 공통 취약점 열거(Common Weakness Enumerations, CWEs) 중 어떤 다른 카테고리보다 애플리케이션에 더 많은 발생 사례가 있었습니다.
- A02:2021-Cryptographic Failures 는 한 단계 상승하여 #2로, 이전에는 민감한 데이터 노출로 불렸고, 이는 증상보다는 근본 원인이었습니다. 여기에서 다시 집중하는 점은 암호화와 관련된 실패로 인해 민감한 데이터 노출 또는 시스템 침해가 발생하는 경우가 많습니다.
- A03:2021-Injection 은 세 번째 순위로 떨어졌습니다. 94%의 애플리케이션에서 일부 형태의 주입이 검사되었으며, 이 카테고리에 매핑된 33개의 CWEs는 애플리케이션에서 두 번째로 많은 발생 사례를 가지고 있습니다. 이 버전에서는 크로스 사이트 스크립팅(XSS)이 이 카테고리의 일부입니다.
- A04:2021-Insecure Design 은 2021년 새로운 카테고리로, 디자인 결함과 관련된 위험에 중점을 둡니다. 산업으로서 정말 "왼쪽으로 이동"하려면 위협 모델링, 보안 디자인 패턴 및 원칙, 참조 아키텍처의 더 많은 사용이 필요합니다.
- A05:2021-Security Misconfiguration 은 이전 버전의 #6에서 올라왔으며, 90%의 애플리케이션에서 일부 형태의 설정 오류가 검사되었습니다. 매우 구성 가능한 소프트웨어로의 전환이 증가함에 따라 이 카테고리가 올라온 것은 놀랍지 않습니다. 이전 XML 외부 개체(XXE) 카테고리는 이제 이 카테고리의 일부입니다.
- A06:2021-Vulnerable and Outdated Components 는 이전에는 알려진 취약점 있는 구성요소를 사용하는 것으로 불렸고, Top 10 커뮤니티 설문조사에서 #2로 나타나며, 데이터 분석을 통해 Top 10에 포함되었습니다. 이 카테고리는 2017년 #9에서 올라왔으며, 우리가 테스트하고 위험을 평가하는 데 어려움을 겪는 잘 알려진 문제입니다. 이 카테고리에 포함된 CWEs에 매핑된 일반적인 취약점 및 노출(CVEs)이 없기 때문에, 기본적인 공격 및 영향 가중치 5.0이 점수에 반영됩니다.
- A07:2021-Identification and Authentication Failures 는 이전에는 깨진 인증으로 불렸고, 두 번째 순위에서 내려와 이제 식별 실패와 관련된 CWEs를 포함합니다. 이 카테고리는 여전히 Top 10의 중요한 부분이지만, 표준화된 프레임워크의 증가한 가용성이 도움이 되고 있습니다.
- A08:2021-Software and Data Integrity Failures 은 2021년 새로운 카테고리로, 소프트웨어 업데이트, 중요한 데이터 및 CI/CD 파이프라인과 관련된 가정을 검증하지 않고 하는 경우에 중점을 둡니다. 이 카테고리의 10개의 CWEs에 매핑된 CVE/CVSS 데이터에서 가장 높은 영향 가중치를 가진 중 하나입니다. 2017년 부적절한 직렬화는 이제 이 더 큰 카테고리의 일부입니다.
- A09:2021-Security Logging and Monitoring Failures 는 이전에는 부족한 로깅 및 모니터링으로 불렸으며, 산업 설문조사(#3)에서 추가되어 이전의 #10에서 올라왔습니다. 이 카테고리는 더 많은 유형의 실패를 포함하도록 확장되었으며, 테스트하기 어렵고 CVE/CVSS 데이터에 잘 반영되지 않습니다. 그러나 이 카테고리의 실패는 가시성, 사건 경보 및 디지털 법의학에 직접적인 영향을 미칠 수 있습니다.
- A10:2021-Server-Side Request Forgery 은 Top 10 커뮤니티 설문조사(#1)에서 추가되었습니다. 데이터는 상대적으로 낮은 발생률을 보이며, 테스트 커버리지, 공격 및 영향 잠재력 평가에서 평균 이상을 보입니다. 이 카테고리는 보안 커뮤니티 구성원이 현재 데이터에서 보여지지는 않지만 이 것이 중요하다고 우리에게 말하는 시나리오를 나타냅니다.
Broken Access Control
- 깨진 접근 제어의 실제 예
- 보안 접근 제어 및 최선책
Cryptographic Failures
- 약한 암호화 알고리즘 또는 부적절한 키 관리와 같은 암호화 실패에 대한 자세한 분석
- 강력한 암호화 메커니즘, 보안 프로토콜(SSL/TLS) 및 웹 보안에서 현대 암호화의 예의 중요성
Injection Attacks
- SQL, NoSQL, OS 및 LDAP 주입에 대한 자세한 분해
- 준비된 문장, 매개변수화된 쿼리 및 입력 문자열 이스케이프를 사용한 완화 기법
Insecure Design
- 부적절한 입력 검증과 같은 디자인 결함이 취약점으로 이어질 수 있는 방법에 대한 탐구
- 보안 아키텍처 및 보안 디자인 원칙에 대한 전략
Security Misconfiguration
- 실제 설정 오류의 예
- 설정 오류를 방지하기 위한 단계, 구성 관리 및 자동화 도구를 포함한
Vulnerable and Outdated Components
- 취약한 라이브러리와 프레임워크를 사용하는 위험에 대한 식별
- 종속성 관리 및 업데이트에 대한 최선책
Identification and Authentication Failures
- 일반적인 인증 문제
- 다중 요인 인증 및 적절한 세션 처리와 같은 보안 인증 전략
Software and Data Integrity Failures
- 신뢰할 수 없는 소프트웨어 업데이트 및 데이터 변조와 같은 문제에 중점
- 안전 업데이트 메커니즘 및 데이터 무결성 검사
Security Logging and Monitoring Failures
- 보안 관련 정보 로깅 및 의심스러운 활동 모니터링의 중요성
- 적절한 로깅 및 실시간 모니터링을 통해 조기에 침해를 탐지하기 위한 도구 및 실천
Server-Side Request Forgery (SSRF)
- 공격자가 SSRF 취약점을 악용하여 내부 시스템에 접근하는 방법 설명
- 적절한 입력 검증 및 방화벽 구성과 같은 완화 전략
Best Practices and Secure Coding
- 보안 코딩에 대한 포괄적인 논의
- 취약점 탐지 도구
요약 및 다음 단계
요건
- 웹 개발 라이프사이클에 대한 일반적인 이해
- 웹 애플리케이션 개발 및 보안 경험
대상
- 웹 개발자
- 리더
14 시간
회원 평가 (7)
대화형 구성 요소 및 예제.
Raphael - Global Knowledge
코스 - OWASP Top 10
기계 번역됨
실습적 접근 방식과 트레이너 지식
RICARDO
코스 - OWASP Top 10
기계 번역됨
트레이너의 지식은 정말 대단했습니다
Patrick - Luminus
코스 - OWASP Top 10
기계 번역됨
비록 내가 편안한 범위를 벗어나더라도 운동을 합니다.
Nathalie - Luminus
코스 - OWASP Top 10
기계 번역됨
트레이너는 매우 유익한 정보를 제공하고 주제를 잘 알고 있습니다.
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
코스 - OWASP Top 10
기계 번역됨
트레이너는 해당 주제에 대한 전문가입니다.
Reynold - SGL Manila (Shared Service Center) Inc.
코스 - OWASP Top 10
기계 번역됨
공격받은 기계로부터 쉘을 얻는 방법에 대한 실습 랩
Catalin
코스 - OWASP Top 10
기계 번역됨
