|
정의
|
- 신뢰성 있는 웹 애플리케이션 개발 및 운영을 위한 웹 취약점의 우선순위와 위협도 기준의 정보보안 가이드 라인을 제시하는 프로젝트
- 웹 애플리케이션 취약점 중 공격 빈도가 높으며, 보안상 큰 영향을 줄 수 있는 10가지 취약점에 대한 대응 방안을 제공하는 웹 보안 기술 가이드
|
|
주요기능
|
- SQL injection : SQL, LDAP 등의 파라메터 입력방식의 취약점
- Cross Site Script(XSS) : 악성 스크립트 삽입, 정보탈취, 피싱
- 빈약한 전송계층 보안 : 암호화되지 않는 HTTP 텍스트 전송
- 암호화 되지 않는 인증 및 세션 : 인증 정보의 평문 전송
- 크로스 사이트 변수 : 포워드, 리다이렉션 변수 노출
- URL 접근차단 실패 : 관리자 페이지 접근제어 실패
- 불완전한 구성 : 구 버전 사용, 취약점 존재 버전, 패치 미 적용
- 검증되지 않는 포워드 : 페이지 이동 변수 미 검증
- 안전하지 않은 암호저장 : 비밀번호 암호화 미 적용, 전송 암호화 부족
- 안전하지 않은 직접 객체 참조 : 파일 직접접근, URL 노출
|
|
OWASP
TOP 10
|
개발자 측면
- 웹 애플리케이션 보안 요구사항의 숙지 및 준수
- 웹 애플리케이션 보안 아키텍처의 수립
- OWASP TOP 10을 기반으로 표준화된 보안 통제 기법의 활용
- OWASP TOP 10을 이용한 웹 애플리케이션 개발자 보안 교육
관리자 측면
- 웹 애플리케이션 보안 검증 방법의 표준화 자료로 활용
- 평가 툴 기반의 웹 애플리케이션 전체에 걸친 보안상태 점검
- OWASP 기준의 코드 검토 및 보안과 침투 시험
조직적 측면
- 정책과 표준을 제시하고 강력한 웹 애플리케이션 보안 통제 기반 수립
- 보안 구현과 검증 활동으로 기존 보안 관리 프로세스를 개선
- 웹 애플리케이션의 CSF(Critical Success Factors)를 제시
|
|
OWAP의
10대 주요 보안위험 항목
|
A1 - Injection
- 공격자가 SQL, 명령어, LDAP 등에 전송되는 데이터에 공격코드를 삽입하여, 비 인가된 행위를 수행
A2 - 취약한 인증과 세션 관리
- 공격자가 피해자 웹 애플리케이션의 세션 정보를 획득하여, 시스템의 인증을 득하는 행위
A3 - XSS(Cross Site Scripting)
- 공격자가 피해자의 브라우저에 특정 스크립트의 실행을 일으켜, 피해자의 세션을 탈취하거나, 웹사이트를 변조하는 행위
A4 - 안전하지 않은 직접 객체 참조
- 공격자가 웹 애플리케이션에게 전달되는 매개변수를 위/변조하여, 의도 밖의 객체에 접근하는 행위
A5 - 보안상 잘못된 구성
- 서버, DB, 애플리케이션 등의 보안 설정이 충분치 않거나, 적용된 S/W의 보안패치 등이 최신화되지 않은 경우
A6 - 중요한 정보 노출
- 부주의한 정보 관리로 개인정보 등 중요데이터가 외부에 노출되는 경우
A7 - 접근 제한 함수의 미흡
- 관리자 페이지 등 비인가 입장에서 접근을 제한해야 하는 페이지에 잘못된 접근 제한 권한 레벨 설정으로 접근이 되는 경우
A8 - CSRF (Cross Site Response Forgery)
- 공격자가 피해자의 브라우저에 변조된 HTTP 요청을 발생시켜, 피해자의 권한으로 특정 행위를 수행
A9 - 알려진 취약한 컴포넌트 사용
- 슈퍼유저권한으로 운영되는 취약한 라이브러리, 프레임워크 및 기타 다른 소프트웨어 모듈로 인해 데이터 유실 및 서버 권한획득과 같은 취약성이 존재하는 경우
A10 - 검증되지 않은 Redirect와 Forward
- 웹어플리케이션에 접속한 사용자를 다른 페이지로 분기시키는 경우, 이동되는 목적지에 대한 검증부재시, 피싱, 악성 사이트 등 인가되지 않는 페이지 접근 등의 문제점 야기
|