오늘은 OWASP Foundation과 2017 OWASP TOP 10에 대해서 알아보려고 합니다.
- OWASP Foundation
- 2017 OWASP TOP 10
OWASP Foundation
OWASP Foundation는 미국에서 설립된 비영리 자선 단체입니다. 주로 웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점등을 연구합니다. 그중에서 빈도가 많이 발생하고 보안상 영향을 크게 줄 수 있는 10가지들을 선정하여 관련 문서(OWASP TOP 10)를 공개하고 있습니다. 이 문서는 2004년부터 4년에 1번씩 나와 가장 최신 것은 2017년에 공개한 문서라고 할 수 있습니다.
(https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project)
2017 OWASP TOP 10
이번 OWASP TOP 10에는 다음과 같은 항목들을 소개합니다.
- 인젝션
- 취약한 인증
- 민감한 데이터 노출
- XML 외부 개체(XXE)
- 취약한 접근 통제
- 잘못된 보안 구성
- 크로스 사이트 트크립팅(XSS)
- 안전하지 않은 역 직렬화
- 알려진 취약점이 있는 구성요소 사용
- 불충분한 로깅 및 모니터링
총 10주에 걸쳐서 각 해당 내용이 무엇인지와 공격 예제, 보안 대책에 대해서 설명하려고 합니다. 이 내용들 중에서는 이론적인 부분에 해당하는 내용들이 많은 파트도 있어서 실무에서 활동하시는 분이 아니라면 적용하기 어려운 부분도 있겟지만, 최대한 많은 내용으로 다음주부터 작성하도록 해보겠습니다.
'OWASP TOP 10' 카테고리의 다른 글
OWASP TOP 10 인젝션 (0) | 2018.08.14 |
---|