OWASP Top 10 (2017)

#1 OWASP 2017v TOP 10

- OWASP ( Open Web Application Security Project ) 란 웹 취약점, 보안 취약점, 악성 스크립트 등을 연구하는 보안 프로젝트. 

 

1. 인젝션 ( injection )

인젝션 취약점은 오류메시지에서 민감한 정보가 유출 등 위험한 결과를 보여줄 수 있다. 입력받은 값을 이용해 데이터 베이스 접근을 위한 쿼리를 만들어 공격한다.

대응방안

 - 서버 측 입력 검증, 특수문자 필터링 및 유효성 검사

 - 화이트리스트 조합 사용

 

2. 인증 취약점

잘못 구성된 인증 시스템은 공격자가 손상된 암호, 세션 토큰 등으로 해당 사용자로 손쉽게 해당 자원에 접근할 수 있다.

대응방안

 - 기본 자격 증명 사용 금지

 - 높은 수준의 암호 정책 구현

 - 지연 로그인, 무작위 세션 ID, 세션 시간 초과 등으로 제어

 - 실패한 로그인 시도 기록

 - 멀티 팩터 인증을 구현 ( 지식 + 소유 )

 

3. 민감한 데이터 노출

민감 데이터는 암호화가 필수이다. 중간자 공격을 통해 전송 중에 데이터를 도용 및 탈취하여 악의적인 목적으로 사용할 수 있다.

대응방안

 - 암호화를 적용하고 키 관리 및 표준 알고리즘 사용

 - 캐싱 비활성화

 

4. XML 외부 개체 ( XXE )

일반적으로 잘못 구성된 XML Parser를 사용하여 신뢰할 수 없는 XML 공격 코드를 주입시켜 실행시키는 응용 프로그램 공격이다. 해당 공격을 통해 주요 시스템 파일 접근이나 악의적인 파일 참조가 가능하다.

대응방안

 - 서버측 입력 유효성 검사, 삭제, 검사 등을 구현

 - Timeout 설정

 - XML 프로세스 및 라이브러리 최신패치

 

5. 취약한 접근 통제

취약한 접근 통제는 수동 인증 및 제어 기능이 간단한 곳에 공격자가 권한을 부여 받아 사용자로서 허가를 우회하여 접속할 수 있도록 하는 접속 제어 시스템의 취약성이다. Application은 사용자 URL의 일부를 수정하는 것만으로 로그인한 계정을 쉽게 변경할수도 있다.

대응방안

 - 기본적으로 모든 자원을 거부하고 액세스 제어 실패 및 알림 로깅 유지

 - 엑세스 제어 검사 구현

 

6. 잘못된 보안 구성

보안 헤더를 잘못 구성하거나 민감한 정보를 누출하는 장황한 오류 코드, 패치 또는 업그레이드를 무시, 기본 구성만 사용하는 것은 모두 이 취약점을 야기할 수 있다.

대응방안

 - 안전한 설치 프로세스 구현, 불필요한 기능 또는 프레임워크 삭제

 - ACL을 통해 구성요소 또는 이용자간의 안전한 분리

 - 사용권한 검토 및 업데이트

 

7. 크로스 사이트 스크립팅 ( XSS )

악성 스크립트가 삽입된 컨텐츠(게시판)에 사용자 접근 시, 해당 스크립트가 사용자 측 (웹 브라우저)에서 실행되어 사용자 정보 (쿠키정보, 개인정보)가 공격자에게 노출되거나 악성코드에 감염되는 등의 취약점

대응방안

 - 입력 값 제한, 치환 ( "<"  -> "&lt;" )

 

8. 안전하지 않은 역직렬화

웹 어플리케이션 및 API에 공격자가 악의적으로 변조한 객체를 역직렬화하여 공격자가 원격실행 코드 삽입 등 부정적인 방법으로 관리자권한 탈취, 서버침투 등을 수행 할 수 있는 취약점이다.

대응방안

 - 신뢰할 수 없는 출처로부터 직렬화 된 객체를 허용하지 않음.

 - 원시 데이터 유형만 허용

 

9. 알려진 취약점이 있는 구성요소 사용

라이브러리 등의 구성요소를 사용할때 해당 구성요소의 합법성을 검증하지 않거나 업데이트 된 버전을 사용하지 않고 특정 기능을 구현하는 광범위한 문제를 언급.

대응방안

 - 클리이언트 및 서버 측 구성 요소의 종속성과 함께 버전 업데이트 및 패치, 모니터링

 

10. 불충분한 로깅과 모니터링

데이터 침해를 감지하기 위해 조직은 응용 프로그램의 맥락에서 관심있게 이벤트를 기록하여 한다. 모니터링은 이러한 로그를 지속적으로 주시하여 적절한 조치를 위해 사고 대응팀으로 이관이 필요하다.

대응방안

 - 의심스러운 활동을 기록하여 중앙 집중식 로그 관리 솔루션에 입력한다.