인기포스트

ABOUT ME

포트폴리오용 보안 블로그

Today
Yesterday
Total
  • [기술 이슈] 2021 OWASP Top10 (Reason)
    기술/기술 이슈 2022. 1. 13. 00:24

     

    출처 : https://owasp.org/Top10/

     

     

    OWASP(Open Web Application Security Project)란 오픈소스 웹 애플리케이션 보안 프로젝트로,

    4년마다 10대 웹 애플리케이션 취약점을 발표하는 것으로 유명합니다!

     

     

    OWASP 2017 이후 2021이 작년에 발표되었으며, "왜 해당 카테고리가 해당 순위에 선정되었는지"

    간단하게 선정 사유만 확인해 보고자 합니다

     

     

    추후 각각의 공격에 대하여 사례와 대응 방안을 따로 공부하여 올리겠습니다!

     

     

    OWASP의 경우 다양한 웹 공격 이슈와 빈도, 심각도 등을 전체적으로 종합해서 결과를 내는 만큼 추후 웹 분야의 보안 방향성을 확인할 좋은 기회라고 생각합니다

     

     

     

     

     

     

    출처 : https://owasp.org/Top10/

     

     

    (1) 이전까지 매번 1위를 해오던 Injection순위가 떨어진 것

    (2) 새로운 취약점의 등장과 명칭의 변경

     

    두 가지가 핵심적으로 변한 것 같습니다. 

     

     

     

     

     

     

    Rank 1. Broken Access Control

    (1) Rank 5 Rank 1

    (2) 테스트한 애플리케이션에 하나 이상의 취약한 접근 제어 존재 (평균 발생률 3.81%)

    (3) 종합적으로 34개의 *CWE가 318,000회 이상 발생

    *CWE = Common Weakness Enumeration / 보안 취약점 카테고리 

     

     

     

    Rank 2. Cryptographic Failures

    (1) Rank 3 Rank 2

    (2) '민감 데이터 노출' 항목의 명칭이 변경

    (3) 기존 카테고리는 근본 원인이 아니라 광범위한 증상이었음

    (4) 암호화 실패를 통해 민감 데이터 노출과 시스템 손상으로 이어짐

     

     

     

    Rank 3. Injection

    (1) Rank 1 Rank 3

    (2) 애플리케이션 94%가 특정 형태의 Injection을 통해 발생 (최대 발생률 19%, 평균 발생률 3.37%)

    (3) XSS(Cross Site Scripting)도 해당 범주에 포함

    (4) 종합적으로 33개의 CWE가 274,000회 발생

     

     

     

    Rank 4. Insecure Design

    (1) New Rank 4

    (2) 2021년 OWASP에 새롭게 분류한 카테고리

    (3) 설계 단계에서의 보안 결함과 관련된 위험에 중점을 둠

    (4) 설계부터 문제가 있다면 완벽하게 구현하더라도 방어할 수 없다고 판단

     

     

     

    Rank 5. Security Misconfiguration

    (1) Rank 4 + Rank 6 Rank 5

    (2) 애플리케이션 90%가 잘못된 설정(구성)으로 발생 (평균 발생률 4.5%) 

    (3) XXE(XML External Entities)도 해당 카테고리에 포함

    (4) 설정(구성) 권한과 범위가 큰 소프트웨어가 등장할수록 더 중요해짐

    (5) 종합적으로 208,000회 이상 발생

     

     

     

    Rank 6. Vulnerable and Outdated Components

    (1) Rank 9 Rank 6

    (2) '알려진 취약점이 있는 구성요소 사용' 항목의 명칭이 변경

    (3) 상위 10개 커뮤니티 설문 조사에서 2위를 차지

    (4) 위험을 평가하고 테스트하는데 어려운 것으로 알려져 있음

    (5) CWE에 매핑된 *CVE가 없는 유일한 카테고리

    *CVE = Common Vulnerabilities and Exposure / 특정 보안 취약점 고유 코드

     

     

     

    Rank 7. Identification and Authentication Failures

    (1) Rank 2 Rank 7

    (2) '취약한 인증' 항목의 명칭이 변경

    (3) 단순한 '인증 실패' 외에 '식별 실패'와 더 관련이 있는 CWE를 포함

    (4) 표준화된 프레임워크의 가용성 증가로 많은 부분이 방어됨

     

     

     

    Rank 8. Software and Data Integrity Failures

    (1) Rank 8 Rank 8

    (2) '안전하지 않은 역직렬화' 항목의 명칭이 변경

    (3) 기존 카테고리보다 더 큰 범주이며 무결성을 확인하지 않고 판단을 하려는 것

    (4) 10개의 CWE에 매핑된 CVE/CVSS들의 영향력이 큼

     

     

     

    Rank 9. Security Logging and Monitoring Failures

    (1) Rank 10 Rank 9

    (2) '충분한 로깅 및 모니터링' 항목의 명칭이 변경

    (3) 더 많은 유형의 실패를 포함하도록 확장됨

    (4) 테스트가 어렵고 CVE/CVSS에 잘 나오지 않는 유형임

    (5) 가시성, 사고 경고, 포렌식에 직접적으로 영향을 줄 수 있음

     

     

     

    Rank 10. Server-Side Request Forgery (SSRF)

    (1) New Rank 10

    (2) 데이터에 보이지 않은 시나리오 위주의 공격을 나타냄

    (3) 평균 이상의 테스트 범위에서 상대적으로 낮은 사고 발생률을 보임

    (4) 하지만 익스플로잇 및 영향 가능성 등급은 평균보다 높음

     

Designed by Tistory.

티스토리툴바