OWASP Top 10

2017 OWASP TOP 10입니다. 3년마다 한번씩 나온다고 하니 올해도 나오겠네요.

아래 정리한 내용들은 기본적으로 적혀있는 내용과 제가 좀 더 찾은 내용(?) 이라고 보시면 됩니다.

 

1. Injection(인젝션)

SQL, OS, XXE, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분으로써, 인터프리터로 보내질 때 발생합니다. 공격자의 악의적인 데이터는 예기치 않은 명령을 실행하거나 올바른 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있습니다.

 

어플리케이션에서 서버로 전달되는 명령, 쿼리, 스크립트 등의 값을 변화시켜 비정상적으로 시스템에 접근할 수 있습니다. 웹 어플리케이션 뿐만 아니라 데이터베이스와 연결된 모든 어플리케이션에서 가능합니다. 

이는 임의의 SQL 쿼리 입력에 대해 검증이 적절히 이루어지지 않아 발생하며 웹 서비스 상 회원정보 유출 사고의 상당수에 해당합니다.

 

2. Broken Authentication(취약한 인증)

인증 및 세션 관리와 관련된 애플리케이션 기능이 종종 잘못 구현되어 공격자들이 암호, 키, 세션 토큰을 위험에 노출시킬 수 있거나 일시적 또는 영구적으로 다른 사용자의 권한 획득을 위해 구현 상 결함을 악용하도록 허용합니다.

 

공격자는 암호나 키, 세션 쿠키, 기타 인증 관련 토큰을 공격하여 인증을 우회하고 다른 사용자의 ID를 가장할 수 있습니다. DB서버에 저장된 사용자 정보 데이터를 열람할 수 있습니다.

 

3. Sensitive Data Exposure(민감한 데이터 노출)

다수의 웹 애플리케이션과 API는 금융 정보, 건강 정보, 개인 식별 정보와 같은 중요한 정보를 제대로 보호하지 않습니다. 공격자는 신용카드 사기, 신분 도용 또는 다른 범죄를 수행하기 위해 보호가 취약한 데이터를 훔치거나 수정할 수 있습니다. 중요한 데이터는 저장 또는 전송할 때 암호화 같은 추가 보호 조치가 없으면 탈취 당할 수 있으며, 브라우저에서 주고 받을 때 각별한 주의가 필요합니다.

 

클라이언트와 서버가 통신할 때 SSL을 사용하여 중요한 정보를 보호하지 않을 때 발생합니다. 특히 사용자가 민감한 정보를 입력할 때 암호화 저장이 이루어지지 않으면 공격자가 중간에서 정보를 탈취할 수 있습니다. 이를 방지하기 위해 데이터 처리와 암호화는 반드시 서버측에서 이루어져야 합니다.

 

4. XML External Entities(XML 외부 개체, XXE)

오래되고 설정이 엉망인 많은 XML 프로세서들은 XML 문서 내에서 외부 개체 참조를 평가합니다. 외부 개체는 파일 URI 처리기, 내부 파일 공유, 내부 포트 스캔, 원격 코드 실행과 서비스 거부 공격을 사용하여 내부 파일을 공개하는데 사용할 수 있습니다.

 

XML은 Extensible Markup Language의 약자로 HTML의 단점을 보완하기 위해 만들어진 언어입니다. XML문서에서 Extenal Entity를 이용하여 공격자가 의도하는 외부의 URL을 실행시킬 수 있습니다.

 

5. Broken Access Control(취약한 접근 통제)

인증된 사용자가 수행할 수 있는 작업에 대한 제한이 제대로 적용되어 있지 않습니다. 공격자는 이러한 결함을 악용하여 다른 사용자의 계정에 접근하거나, 중요한 파일을 보거나, 다른 사용자의 데이터를 수정하거나, 접근 권한을 변경하는 등 권한 없는 기능과 데이터에 접근할 수 있습니다.

 

일반적으로 관리자 페이지에서 발생할 수 있는 취약점입니다. 관리자 페이지는 접근 통제를 하여 일반 사용자는 인증을 통과하지 못하도록 할 뿐 아니라 일반 사용자가 관리자 페이지를 볼 수 없도록 해야합니다. 하지만 일반적으로 추측하기 쉬운 URL을 사용하여, 아이디/패스워드에 대한 크랙이나 접근 허가 정책에 대해 요청하는 부분의 정보를 변경하여 접근할 수 있는 경우가 많습니다.

 

6. Security Misconfiguration(잘못된 보안 구성)

잘못된 보안 구성은 가장 흔하게 보이는 이슈입니다. 취약한 기본 설정, 미완성 (또는 임시 설정), 개방된 클라우드 스토리지, 잘못 구성된 HTTP 헤더 및 민감한 정보가 포함된 장황한 에러 메시지로 인한 결과입니다. 모든 운영체제, 프레임워크, 라이브러리와 애플리케이션을 안전하게 설정해야 할 뿐만 아니라 시기 적절하게 패치/ 업그레이드를 진행해야 합니다.

 

웹 어플리케이션을 운영하는데 있어 실수로 놓지게 되어 발생하는 문제를 말합니다. 웹 서버를 설치할 때 기본적으로 설치되는 파일이나 관리자가 임시로 만든 파일이 아무런 제한 없이 웹의 홈 디렉토리에 놓여 있을 경우 권한이 없는 일반 사용자나 해커가 이 파일명을 직접 입력해 디렉토리 정보, 시스템 정보 및 중요한 정보를 얻을 수 있습니다.

 

7. Cross-Site Scripting(크로스 사이트 스크립팅, XSS)

XSS 취약점은 애플리케이션이 올바른 유효성 검사 또는 필터링 처리 없이 새 웹 페이지에 신뢰할 수 없는 데이터를 포함하거나, 자바스크립트와 HTML을 생성하는 브라우저 API를 활용한 사용자 제공 데이터로 기존 웹 페이지를 업데이트할 때 발생합니다. XSS는 피해자의 브라우저에서 공격자에 의해 스크립트를 실행시켜 사용자 세션을 탈취할 수 있게 만들고, 웹 사이트를 변조시키고, 악성 사이트로 리다이렉션할 수 있도록 허용합니다.

 

검증되지 않은 입력 값으로 인해 사용자의 웹 브라우저에서 의도하지 않은 악성 스크립트가 실행되는 취약점입니다. 공격을 통해 사용자의 개인정보 및 쿠키정보 탈취, 악성코드 감염, 웹 페이지 변조 등이 발생하며, 서버를 공격하는 것이 아니라 서버를 경유해 클라이언트를 공격하는 방식입니다.

 

8. Insecure Deserialization(안전하지 않은 역직렬화)

안전하지 않은 역직렬화는 종종 원격 코드 실행으로 이어집니다. 역직렬화 취약점이 원격 코드 실행 결과를 가져오지 않더라도 이는 권한 상승 공격, 주입 공격과 재생 공격을 포함한 다양한 공격 수행에 사용될 수 있습니다.

 

서로간의 원할한 통신 하기 위해 우리는 데이터를 스트림하기 위해 직렬화를 시키고 그 직렬화된 데이터 스트림을 다시 받고 역직렬화해서 데이터를 확인하는 과정을 거칩니다. 이 과정에서 공격자는 악의적으로 변조한 객체를 역직렬화 하여 공격자가 원격실행 코드 삽입 등 부정적인 방법으로 관리자권한 탈취, 서버 침투 등을 수행할 수 있습니다.

 

9. Using Components with Known Vulnerabilities(알려진 취약점이 있는 구성요소 사용)

라이브러리, 프레임워크 및 다른 소프트웨어 모듈 같은 컴포넌트는 애플리케이션과 같은 권한으로 실행됩니다. 만약에 취약한 컴포넌트가 악용된 경우, 이는 심각한 데이터 손실을 일으키거나 서버가 장악됩니다. 알려진 취약점이 있는 컴포넌트를 사용한 애플리케이션과 API는 애플리케이션 방어를 약화시키거나 다양한 공격과 영향을 주게 합니다.

 

말 그대로 알려진 취약점이 있는 구성요소(컴포넌트)를 이용하는 방법이다. 이미 취약점이 알려져 있다면 그에 대한 대비책도 존재하겠지만, 어떤 사유로 인해 그런 대비를 하지 못한 경우를 이용하는 취약점이다.

 

10. Insufficient Logging & Monitoring(불충분한 로깅 & 모니터링)

불충분한 로깅과 모니터링은 사고 대응의 비효율적인 통합 또는 누락과 함께 공격자들이 시스템을 더 공격하고, 지속성을 유지하며, 더 많은 시스템을 중심으로 공격할 수 있도록 만들고, 데이터를 변조, 추출 또는 파괴할 수 있습니다. 대부분의 침해 사례에서 침해를 탐지하는 시간이 200일이 넘게 걸리는 것을 보여주고, 이는 일반적으로 내부 프로세스와 모니터링보다 외부 기관이 탐지합니다.

 

로깅: 시스템 동작 시 시스템 상태/작동 정보를 시간의 경과에 따라 기록하는 것입니다.

말 그대로 로그를 남기고 모니터링을 하는 행위가 부실할 때 발생합니다.