OWASP(The Open Web Application Security Project)는 국제 웹 보안 표준 기구입니다. OWASP는 특정 기관이 신뢰할 수 있는 웹 애플리케이션을 개발, 획득, 운영 등을 위해 도움을 주는 비영리 공개 커뮤니티이며, 특정 기업과 연계되어 있지 않습니다.
OWASP에서는 웹 애플리케이션 보안 취약점을 연구하고, 3년 주기로 보안이 취약한 부분의 1TOP10을 조사 및 선정하여 발표하고 있습니다. 현재(2013년 5월 7일)를 기준으로 가장 최신 버전은 2010년에 발표된 버전(OWASP 2010)이며, 현재 OWASP 2013RC 버전이 발표되었습니다.
OWASP 2013RC
OWASP TOP10 2013은 현재 Release Candidate 버전입니다. 조만간 정식 버전이 출시될 것으로 예상되며, 정식 버전이 출시되면 관련 내용을 갱신하겠습니다.
OWASP 2010과 OWASP 2013RC 버전의 차이점을 살펴보면, 2가지 항목(안전하지 않은 암호 저장[A7], URL 접근 제한 실패[A8])이 삭제되었습니다. 그리고 불충분한 전송 계층 보호[A9] 항목이 OWASP 2013의 Sensitive Data Exposure[A6]로 통합되었습니다. 끝으로 알려진 취약점이 있는 구성요소 사용[A9] 항목이 추가된 것을 확인할 수 있습니다.
관련 문서는 다음 링크에서 다운로드 받으실 수 있으며, 이 문서에 대한 저작권은 문서에 표기되어 있습니다.
OWASP TOP10 2013RC
# | 한글 | 영어 |
---|---|---|
A1 | 인젝션 | Injection |
A2 | 취약한 인증과 세션 관리 | Broken Authentication and Session Management |
A3 | 크로스 사이트 스크립팅 | Cross Site Scripting (XSS) |
A4 | 안전하지 않은 직접 객체 참조 | Insecure Direct Object Reference |
A5 | 보안상 잘못된 구성 | Security Misconfiguration |
A6 | 민감한(중요한) 데이터 노출 | Sensitive Data Exposure |
A7 | 기능 수준 접근 통제 누락 | Missing Function Level Access Control |
A8 | 크로스 사이트 요청 변조 | Cross Site Request Forgery(CSRF) |
A9 | 알려진 취약점이 있는 구성요소 사용 | Using Components with Known Vulnerabilities |
A10 | 검증되지 않은 리다이렉트와 포워드 | Unvalidated Redirects and Forwards |
항목별 자세한 사항은 위에 첨부된 관련 문서를 참조하길 바라며, 여기에서는 항목별로 간단히 요약한 내용을 소개하겠습니다. 관련 내용에 대한 한글화 작업은 최종 버전이 출시된 이후에 갱신하겠습니다. 2
A1. 인젝션(Injection)
A2. 취약한 인증과 세션 관리(Broken Authentication and Session Management)
A3. 크로스 사이트 스크립팅(Cross Site Scripting(XSS))
A4. 안전하지 않은 직접 객체 참조(Insecure Direct Object Reference)
A5. 보안상 잘못된 구성(Security Misconfiguration)
A6. 민감한(중요한) 데이터 노출(Sensitive Data Exposure)
A7. 기능 수준 접근 통제 누락(Missing Function Level Access Control)
A8. 크로스 사이트 요청 변조(Cross Site Request Forgery(CSRF))
A9. 알려진 취약점이 있는 구성요소 사용(Using Components with Known Vulnerabilities)
A10. 검증되지 않은 리다이렉트와 포워드(Unvalidated Redirects and Forwards)
OWASP 2010
OWASP TOP10 2010은 다음과 같습니다. 관련 문서는 다음 링크에서 다운로드 받으실 수 있으며, 이 문서에 대한 저작권은 문서에 표기되어 있습니다.
OWASP TOP10 2010
# | 한글 | 영어 |
---|---|---|
A1 | 인젝션 | Injection |
A2 | 크로스 사이트 스크립팅 | Cross Site Scripting (XSS) |
A3 | 취약한 인증과 세션 관리 | Broken Authentication and Session Management |
A4 | 안전하지 않은 직접 객체 참조 | Insecure Direct Object Reference |
A5 | 크로스 사이트 요청 변조 | Cross Site Request Forgery(CSRF) |
A6 | 보안상 잘못된 구성 | Security Misconfiguration |
A7 | 안전하지 않은 암호 저장 | Insecure Cryptographic Storage |
A8 | URL 접근 제한 실패 | Failure to Restrict URL Access |
A9 | 불충분한 전송 계층 보호 | Insufficient Transport Layer Protection |
A10 | 검증되지 않은 리다이렉트와 포워드 | Unvalidated Redirects and Forwards |
OWASP 2007
OWASP TOP10 2007은 다음과 같습니다. 관련 문서는 다음 링크에서 다운로드 받으실 수 있으며, 이 문서에 대한 저작권은 문서에 표기되어 있습니다.
OWASP TOP10 2007
# | 한글 | 영어 |
---|---|---|
A1 | 크로스 사이트 스크립팅 | Cross Site Scripting (XSS) |
A2 | 인젝션 | Injection Flaws |
A3 | 악성 파일 실행 | Malicious File Execution |
A4 | 불안전한 직접 객체 참조 | Insecure Direct Object Reference |
A5 | 크로스 사이트 요청 변조 | Cross Site Request Forgery(CSRF) |
A6 | 정보 유출 및 부적절한 오류 처리 | Information Leakage and Improper Error Handling |
A7 | 훼손된 인증 및 세션 관리 | Broken Authentication and Session Management |
A8 | 불안전한 암호화 저장 | Insecure Cryptographic Storage |
A9 | 불안전한 통신 | Insecure Communications |
A10 | URL 접근 제한 실패 | Failure to Restrict URL Access |
OWASP 2004
OWASP TOP10 2004는 다음과 같습니다. 관련 문서는 다음 링크에서 다운로드 받으실 수 있으며, 이 문서에 대한 저작권은 문서에 표기되어 있습니다.
OWASP TOP10 2004
# | 한글 | 영어 |
---|---|---|
A1 | 입력값 검증 부재 | Unvalidated Input |
A2 | 취약한 접근 통제 | Broken Access Control |
A3 | 취약한 인증 및 세션 관리 | Broken Authentication and Session Management |
A4 | 크로스 사이트 스크립팅(XSS) 취약점 | Cross Site Scripting(XSS) Flaws |
A5 | 버퍼 오버플로우 | Buffer Overflows |
A6 | 인젝션 취약점 | Injection Flaws |
A7 | 부적절한 에러 처리 | Improper Error Handling |
A8 | 취약한 정보 저장 방식 | Insecure Storage |
A9 | 서비스 방해 공격 | Denial of Service |
A10 | 부적절한 환경 설정 | Insecure Configuration Management |
마치면서
지금까지 OWASP TOP10에 대해 알아봤습니다. OWASP TOP10은 아주 많은 취약점 요소 중에서 중요한 10개의 내용만 소개하고 있습니다. 이외에도 검토할 수 있는 기술이나 역량을 보유하고 있으면, 최대한 보호하는 것이 올바른 행동일 것입니다. 완벽하게 모든 취약점을 제거하기는 어렵습니다만, 보안 의식 수준을 높이는 것은 꼭 필요한 일입니다.