OWASP (Open Web Application Security Project)

오늘은 OWASP 에 대해서 정리해보자

 

OWASP 란 Open Web Application Security Project 의 약자이다

 

소프트웨어의 보안을 위한 단체이고 이름에 Security 가 들어간것처럼 웹과 어플리케이션의 보안과 관련한 일을 수행한다

 

OWASP 에서는 여러 프로젝트를 진행하는데 그 중에서 웹의 가장 심각한 보안 관련 이슈를 공유하는 프로젝트를 OWASP Top 10 프로젝트라고 부른다

 

OWASP 홈페이지

 

Top 10 은 확산도, 공격 가능도, 탐지가능도, 영향력을 기준으로 평가하여 선정된다

 

보안 관련 컨설팅 업체는 모의해킹, 보안 컨설팅 등을 수행할 때 OWASP TOP 10에 선정된 항목을 중요하게 점검하게되고, 가능하면 개발회사도 해당 내용들에 대해서 주의깊게 개발해야 한다.

 

 

아래는 2013년과 2017년에 OWASP TOP 10 에 포함된 내용이다

OWASP Top 10. 2013년 버전

1. 인젝션
2. 취약한 인증과 세션
3. 크로스 사이트 스크립팅
4. 안전하지 않은 객체 참조
5. 잘못된 보안 구성
6. 민감성 데이터 노출
7. 기능 수준의 접근 통제 누락
8. 크로스 사이트 요청 변조
9. 알려진 취약점 요소 사용
10. 검증되지 않는 리다이렉트 또는 포워드

 

OWASP Top 10. 2017년 버전

1. 인젝션
2. 취약한 인증
3. 민감성 데이터 노출
4. XML 외부 개체
5. 취약한 접근 통제
6. 잘못된 보안 구성
7. 크로스 사이트 스크립팅
8. 취약한 역직렬화
9. 알려진 취약점 요소 사용
10. 불충분한 로깅과 모니터링

 

2013년과 2017년을 비교하면 동일한 내용도 있지만 변경된 내용도 있다

아마 기술의 발전에 따라 새로운 보안 문제가 생기는걸로 보인다