OWASP Top10 2021

OWASP(Open Web Application Security Project)

 

1. OWASP Top10 2017 대비 변경된 내용

 

2. OWASP Top10 2021 상세내용

구분	유형	상세	대응방법
A1	Broken Access Control (접근 권한 취약점)	- 다른 사용자의 계정 및 데이터에 접근해 중요한 파일을 보거나 권한을 수정한다	- 최소 권한 부여 - ACL 적용 - 목록 비활성화
A2	Cryptographic Failures (암호화 오류)	- 적절한 암호화가 이루어지지 않으면 민감 데이터가 노출된다.	- 데이터 분류 및 통제 - 규정준수, 암호화, Salt - 최신 표준 알고리즘
A3	Injection (인젝션)	- SQL, OS, ORM, LDAP 등의 신뢰할 수 없는 데이터 가 명령어나 쿼리문의 통해 전송 통해 오동작 유도 공격이다.	- 데이터와 명령어 분리 - 입력값 필터링 - 검증된 라이브러리 이용
A4 신규	Insecure Design (불안전한 설계)	- 설계부터 보안을 고려하는 위협 모델링, 보안 설계 등이 누락되거나 효율적이지 않은 설계이다.	- Secure SDLC - Secure by Design - 위협 모델링
A5	Security Misconfiguration (보안구성오류)	- 취약한 기본 설정, 미완성, 개방된 클라우드 스토리지, 에러 메시지등의 설정의 실수가 존재한다.	- 안전한 설치 과정 시행, - 불필요한 기능 최소한 유지 - 샘플페이지 제거
A6	Vulnerable and Outdated Components (취약하고 오래된 요소)	- OS, Web/App, DBMS, API 및 라이브러리 등이 취약하거나 유지 관리가 지원되지 않는다.	- 패치관리 프로세스 - CVE/NVD 등 모니터링 - 구성 변경 모니터링
A7	Identification and Authentication Failures (식별 및 인증 오류)	- 기본 암호, 취약하거나 잘 알려진 암호를 허용하거나, 취약하거나 비효율적인 인증 방법을 사용하지 않는다.	- 다중 인증(MFA) - 취약 비밀번호 검사 - 기본 계정/암호 변경
A8 신규	Software and Data Integrity Failures (소프트웨어 및 데이터 무결성 오류)	- 무결성을 확인하지 않고 업데이트 및 중요 데이터를 변경이 가능하여 공격자가 개체나 데이터를 넣는다.	- PMS 일괄배포 - 서명 검증 - 사전 무결성 체크
A9	Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패)	- 사고 대응의 비효율적인 통합 또는 누락으로 인해 공격활동 인지가 불가능하다.	- SIEM, SOAR - 효과적인 모니터링 및 경고 - 분산 로그 저장&동기화
A10 신규	Server-Side Request Forgery (서버 측 요청 위조)	서버 측 자체의 요청을 변조하여 공격자가 원하는 형태의 악성 행위를 서버에 던져주고, 서버가 이를 검증 없이 그대로 받아 응답하는 공격이다.	- 방화벽 정책 관리 - Secure OS - Security Group - URL Host 화이트리스트