OWASP TOP 10 - 2017 최종수정본

OWASP TOP 10 - 2017 최종수정본

OWASP_Top_10-2017-ko.pdf

지난 4년 동안 변화가 가속되었으며, OWASP Top 10이 변화해야 했습니다. 우리는 OWASP Top 10을 완벽히 재설계하고 방법론을

개선했습니다. 또한 새로운 데이터 호출 프로세스를 활용하고, 커뮤니티와 협력하여 리스크를 재조정하였습니다. 그리고 위험을

다시 작성하고, 공통적으로 사용되는 프레임워크 및 언어에 대한 참조를 추가했습니다.

지난 몇 년간, 애플리케이션의 근본적인 기술과 아키텍처는 상당히 변화했습니다:

• node.js와 Spring Boot로 작성된 마이크로 서비스는 전통적인 단일 애플리케이션을 대체하고 있습니다. 마이크로 서비스는

마이크로 서비스, 컨테이너, 비밀 관리 등 서로 간의 신뢰를 구축하는 것을 포함하여 자체 보안 문제를 안고 있습니다. 인터넷에서

접근할 수 있을 것으로 예상되지 않은 이전 코드는 이제 단일 페이지 애플리케이션(SPA) 및 모바일 애플리케이션에서 사용되는

API 또는 RESTful 웹 서비스 뒤에 있습니다. 신뢰할 수 있는 호출자와 같은 코드에 의한 아키텍처 가정은 더 이상 유효하지

않습니다.

• Angular 및 React와 같은 자바스크립트 프레임워크로 작성된 단일 프레임 페이지 애플리케이션은 모듈식 기능이 많은 프론트

엔드를 만들 수 있습니다. 전형적으로 서버 측에서 제공되는 클라이언트 측의 기능은 자체 보안 문제를 야기합니다.

• 자바스크립트는 이제 서버 측에서 실행되는 node.js와 클라이언트에서 실행되는 Bootstrap, Electron, Angular 및 React와 같은

최신 웹 프레임워크를 사용하는 웹의 기본 언어입니다.

데이터가 제공한 새로운 문제:

• A4:2017-XML 외부 개체(XXE)는 주로 소스 코드 분석 보안 테스팅 도구(SAST) 데이터 집합에서 지원되는 새로운 범주입니다.

커뮤니티가 제공한 새로운 문제:

우리는 커뮤니티가 지켜보고 있는 두 가지 취약점에 대한 통찰력을 제공할 것을 요청했습니다. 500개 이상의 개별 제출 및 민감한

노출, XXE와 같은 이미 제시된 데이터를 제거한 후 다음과 같은 두 가지 새로운 문제가 있었습니다:

• A8:2017-안전하지 않은 역직렬화는 영향을 받는 플랫폼에서 원격 코드 실행 또는 중요한 개체 조작을 허용합니다.

• A10:2017-불충분한 로깅과 모니터링은 악의적인 활동 및 침입 탐지, 사고 대응 및 디지털 포렌식을 방해하거나 크게 지연시킬 수

있는 결함이 있습니다.

병합했거나 삭제됐지만, 잊지 말아야 하는 사항:

• A4-안전하지 않은 직접 객체 참조와 A7-기능 수준의 접근 통제 누락은 A5:2017-취약한 접근 통제 항목으로 병합되었습니다.

• A8-크로스-사이트 요청 변조 (CSRF)은 CSRF 방어를 포함한 많은 프레임워크에 있기 때문에 5%의 애플리케이션에서만

발견되었습니다.

• A10-검증되지 않은 리다이렉트 및 포워드는 약 8%의 애플리케이션에서 발견되었지만 XXE에 밀려났습니다