Proven by Intelligence
보이지 않는 안전을 인텔리전스로 증명하다.
기술 인사이트를 만나보세요.
The Open Web Application Security Project Top 10
OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트입니다. 주로 웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점 (OWASP TOP 10을) 발표합니다.
OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안에 영향을 크게 줄 수 있는 것들 10가지를 선정하여 2004년, 2007년, 2010년, 2013년, 2017년, 2021년을 기준으로 발표되었습니다.
보안 취약점 사례 – A01 : Broken Access Control
지난 2017년(5번째) 대비 2021년도에는 가장 위험한 항목으로 선정되었습니다.
Access Control은 사용자가 의도한 권한을 벗어나 행동할 수 없도록 정책을 만들고 적용하는 기능입니다.
Access Control이 취약하게 구현되는 경우, 모든 데이터의 무단 정보 공개/수정 또는 삭제로 이어지거나 사용자의 권한을 벗어난 기능을 수행합니다.
실제로 지난 2014년, 스냅챗은 해커의 무차별 대입 공격으로 인해 460만 명의 사용자 이름과 전화번호가 공개되는 등의 개인정보 유출 사고를 겪었습니다.
그림 1. Broken Access Control 사례
보안 취약점 사례 – A02 : Cryptographic Failures
특히, 비밀번호/신용카드 번호/건강 기록/개인정보 및 사업 기밀 등 데이터가 개인정보 보호법 또는 규정에 해당하는 경우에는 추가적인 보호 조치가 필요합니다.
당시 계정의 암호나 금융 정보는 유출되지 않았지만, 보안 인증을 위한 질문에 대한 답변들이 노출되었으며 이로 인해 많은 사용자의 계정이 해킹되었습니다.
2021 OWASP TOP 10
| Rank | Name |
| A01 | Broken Access Control |
| A02 | Cryptographic Failures |
| A03 | Injection |
| A04 | Insecure Design |
| A05 | Security Misconfiguration |
| A06 | Vulnerable and Outdated Components |
| A07 | Identification and Authentication Failures |
| A08 | Software and Data Integrity Failures |
| A09 | Security Logging and Monitoring Failures |
| A10 | Server-Side Request Forgery |
CodeSonar를 통한 OWASP TOP 10 검출
위 10개의 목록 중 Web Server/PHP/.NET/DB Server와 같은 C, C++ 언어의 약점이 아닌 항목을 제외한 8개 항목에 대해 CodeSonar로 검출할 수 있습니다.
아래 예시와 같이 별도의 어려운 설정 없이 Preset 파일을 선택하여 분석을 진행하시면 손쉽게 위반 항목을 검출하여 대응하실 수 있습니다.
그림 3. 2021 OWASP TOP 10 Preset 사용 예시 화면
MDS인텔리전스는 새롭게 배포되는 OWASP 버전에 맞추어 Preset 파일을 제공하고 있습니다.
출처 :
https://owasp.org/Top10/
https://www.seoulfn.com/news/articleView.h
https://www.hankyung.com/international/article/201710047451i
이번 블로그 글을 통해 웹 애플리케이션 보안 취약점에 대해 설명해 드렸습니다.
다음 시간에는 안전한 소프트웨어 개발을 위해, CodeSonar를 통한 NASA의 Power of Ten Rule 대응 방안에 대해 알려 드리겠습니다.
MDS 인텔리전스
소프트웨어 버그 및 취약점 검출 솔루션, CodeSonar
E. codesonar@mdsit.co.kr
