https://owasp.org/www-project-top-ten/
OWASP Top Ten | OWASP Foundation
The OWASP Top 10 is the reference standard for the most critical web application security risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing your software development culture focused on producing secure code.
owasp.org
A01:2021-Broken Access Control - 취약한 접근 제어.
사용자가 인증되지 않은 접근자에 의해 애플리케이션의 보호된 리소스에 접근할 수 있는 상태를 의미합니다.
A02:2021-Cryptographic Failures - 암호화 실패.
암호화 기술에 오류가 있는 경우에 민감한 데이터 노출이나 시스템 침해로 일어날 수 있습니다.
A03:2021-Injection - 인젝션.
클라이언트에서 입력한 파라미터를 악의적으로 입력하여 접근 권한을 획득하는 경우.
종류는 SQL Injection, Cross-Site Scripting(XSS), OS Command Injection, LDAP Injection, XPath Injection, SSL Injection 등이 있습니다.
A04:2021-Insecure Design - 불안전한 설계.
코드 구현 단계에 앞서 설계 단계에서 발생하는 결함과 관련된 보안 취약점 입니다. 애플리케이션 설계 단계에서 보안을 고려하지 않거나 부적절하게 고려하여 발생할 수 있습니다.
A05:2021-Security Misconfiguration - 보안 구성 오류.
보안 설정의 잘못된 구성으로 인해 발생할 수 있는 보안 취약점을 의미합니다. 이는 일반적으로 시스템 서버, 애플리케이션 서버, 네트워크 장치 등에서 발생할 수 있으며, 보안 설정이 부적절하게 구성되어 있거나, 기본 설정을 하지 않아 발생할 수 있습니다.
A06:2021-Vulnerable and Outdated Components - 취약하고 오래된 구성 요소.
이전에 알려진 보안 취약점을 가지고 있거나, 최신 버전이 아닌 경우 발생할 수 있는 보안 취약점을 의미합니다.
A07:2021-Identification and Authentication Failures - 식별 및 인증 실패.
주로 사용자나 시스템이 식별 및 인증 과정에서 발생할 수 있는 보안 취약점을 의미합니다.
A08:2021-Software and Data Integrity Failures - 소프트웨어 및 데이터 무결성 실패.
주로 소프트웨어 개발, 배포 및 운영 과정에서 발생할 수 있는 보안 취약점을 의미합니다.
소프트웨어 업데이트, 중요 데이터 및 CI/CD 파이프라인과 관련된 보안 검증 절차를 밟지 않고 배포하는 것에 집중하는 경우입니다.
A09:2021-Security Logging and Monitoring Failures - 보안 로깅 및 모니터링 실패.
주로 시스템이나 네트워크에서 발생할 수 있는 보안 취약점으로, 보안 이벤트를 적절하게 기록하거나 모니터링하지 못하여 발생할 수 있습니다.
보안관제 업무인듯
A10:2021-Server-Side Request Forgery - SSRF(서버 측 요청 변조).
공격자가 웹서버 또는 백엔드 서버의 취약점을 이용하여 서버 자원에 대한 요청을 위조하거나 조작할 수 있는 취약점을 의미합니다.
주로 웹 어플리케이션에서 발생하며, 공격자가 웹 서버에 접근할 수 있는 권한을 얻습니다.
'보안공부 > Web Hacking' 카테고리의 다른 글
| Web Goat로 웹해킹 공부하기 (0) | 2024.07.18 |
|---|---|
| 웹 해킹 토이 프로젝트 (0) | 2024.07.10 |
| 웹 해킹 개요 (0) | 2024.06.19 |
| DVWA 설치 및 실습 (0) | 2024.06.14 |