OWASP TOP 10 생각하시면 될듯하네요. 요약해서 포스팅해봅니다. (원본 글 링크는 아래있으니 참고해주세요)
!This article was written in collaboration with "Toptal".
1. Injection flaws
아마도 영향력 대비 발생빈도도 높은 취약점 중 하나입니다. Injection 계열은 대체로 서비스에 큰 영향을 미칠 수 있는 취약점이며
대표적으로 SQL Injection, XXE, Code Injection 등 여러가지 형태가 있습니다.
2. Broken Authentication
두번째는 인증에 대해 우회입니다. 특정 권한이 있는 사용자만 사용할 수 있는 페이지나 별도의 처리가 있어야 접속할 수 있는 웹에서
인증하지 않고 페이지, 기능에 접근하는 걸 의미하죠. 실제로 이 취약점또한 많이 나오네요.
3. XSS
대망의 XSS입니다. 개인적으로 발생빈도 대비 위험성으로는 XSS만한게 없다고 봅니다. 아마 대부분 웹사이트에서 분석 잘 하면
수두룩하게 나올 것이고, 잘 되어있는 큰 기업 사이트나 대형 서비스 또한 절대 안전할 수 없다고 보죠. 많이 나오구요.
일반적으로는 쿠키탈취, 세션 제어 목적정도로 사용된다고 생각하겠지만 Javascript 사용이 가능하기 때문에 DOS나 각종 Client base Exploit에도
사용됩니다.
4. Insecure Direct Object Reference
Object에 대해 직접참조로 발생하는 문제입니다. 위 케이스보단 적지만 제공하는 Object 기능,내용에 따라 파급력이 상당할수도 있죠.
5. Seucirty Misconfiguration
스캐너로 가장 많이 확인할 수 있는 부분입니다. 잘못된 서버 설정은 다른 자체적으로도 문제가 있지만 다른 취약점의 발생 원인에 큰 몫을 합니다.
제가 생각하기에도 이 부분은 확실하게 체크되어야 하는 부분이죠.
6. Sensitive data Exposure
민감한 파일에 대한 접근 또한 문제가 될 수 있습니다. 인증 로직이나 외부적으로 접근할 수 없게 만들어 공격자로 부터 차단해야하지만
생각보다 이런 내용을 고려한 웹은 많지 않습니다.
7. Missing function level access control
어떻게 보면 Broken Auth, Insecure Direct Object랑 유사하지만 약간 다른부분이 있습니다. 함수 자체에 대한 접근 제어인데요,
저도 지금까지 많은 사이트를 테스트하고 진단해왔지만 함수단에서 제어하는 것 까지 설계된 곳은 많지 않았습니다.
Client Base인 경우에는 분석이 쉽지만 영향력이 떨어질 것이고 Server Base라면 영향력이 높고 분석또한 어렵겠죠.
(일단 코드단 접근이 어려우니.. 리버싱처럼 직접 체크할수도 없고..)
8. CSRF
역시 어딜가나 CSRF도 빠지지 않습니다. 사용자의 권한을 이용해서 기능을 수행하거나, JSON Hijacking, 권한 탈취 등
여러가지 공격루트에 사용되는 취약점이기도 합니다. 다만 권한을 가진 사람이 봐야한다는 조건이 붙어 바로 영향을 보여줄 순 없죠.
그래도.. 광고나 어뷰징으로 많이 사용되고 취약점으로 인해 문제가 발생한 사건들도 많기에 중요한 취약점이죠.
9. Using components with known vulnerabilities
알려진 취약점이 있는 컴포넌트를 사용하는건 서비스 전체적으로 취약점이 발생할 수 있는 빌미를 제공합니다.
EDB나 0daytoday에 보시면 정기적으로 많은 취약점들이 올라오는데, 취약점이 존재하는 라이브러리, 코드를 기반으로 만들어진 서비스들은
자연스럽게 취약점을 가질수 밖에 없습니다. 이를 쉽게 찾기 위해 코드의 모양을 그래프로 표현하여 분석하는 도구, 그걸 연구하시는 분들도 많이 있죠.
10. Unvalidated redirects and forwards
마지막으로.. 조금 의외인 URL Redirection입니다. 개인적으로 OWASP TOP 10에 꼭 들어가야하나.. 싶은 생각은 약간 있어요.
전반적으로 XSS보다 발생할 가능성도 높고 더 많이 보았던 것 같습니다.
해당 취약점은 다른 서비스로 이동하는 기능 등 타 도메인으로 넘어가는 구간에서 파라미터 값에 대해 변조하여 악의적인 사이트로 넘어가도록 합니다.
이 링크를 복사해서 일반 사용자에게 뿌리면.. 사용자는 신뢰하는 서비스의 페이지인줄 알고 접근하지만 redirection 되어 악의적인 페이지, 스크립트 구문으로 넘어가 피해를 입을 수 있습니다.
OWASP TOP 10의 변화
약간의 내용을 덧붙이는게 좋을 것 같아서 작성합니다. 조만간 OWASP TOP 10 2017 기준으로 포스팅 한번 하겠지만.. 앞서 보여드리면 몇가지 항목의 변화가 있습니다.
Redirection 대신.. Underprotected APIs가 들어왔네요. (당연 API 중요하죠. 실제로 케이스도 많구요)
Toptal collaboration & Reference
This post originally apperared in Toptal(https://www.toptal.com/security/10-most-common-web-security-vulnerabilities)
Reference
https://www.toptal.com/security/10-most-common-web-security-vulnerabilitieshttps://www.owasp.org/images/3/3c/OWASP_Top_10_-_2017_Release_Candidate1_English.pdf
 |
HAHWULSecurity engineer, Gopher and H4cker!
 |
0 개의 댓글:
Post a Comment