목차

1 About OWASP
1-1 서론
1-2 OWASP Top 10 2013
1-3 2010년과 2013년 OWASP Top 10

2. A7 - 기능 수준의 접근 통제 누락
2-1. 기능 수준의 접근 통제 누락이란?
2-2 관리자 페이지 접근통제
2-3. 인증 후 페이지 직접 접근

본문내용

- 국제 웹 표준 기구로 The Open Web Application Security Project의 약어로 오픈소스 웹 어플리케이션 보안 프로젝트이다. 주로 웹에 관련된 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하여 빈도가 가장 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하여 몇 년마다 10대 웹 어플리케이션의 취약점을 발표한다. 그것을 OWASP TOP 10이라고 부른다. OWASP Top 10 2013은 어플리케이션 보안을 전문으로 하는 7개의 기업의 8개 데이터 세트를 토대로 만들었다. 이 데이터들은 수백 개 기업, 수천 개의 어플리케이션에 걸친 500,00개 이상의 취약점들을 포함하고 있다. 각 항목은 가장 많이 퍼져있는 데이터를 기준으로 취약점 공격 가능성, 탐지 가능성 그리고 영향 평가 등을 함께 고려하여 선정되어져 있다. OWASP Top 10은 위험도가 큰 문제들에 대해 대응할 수 있는 기본적인 기술을 제공하여 이를 근거로 향후 방향을 제시하고 있다.

- OWASP 2007년부터 2010년까지 URL 접근 제한 실패 항목이 확장된 항목으로 기본적인 개념은 같다. URL 접근 제한 실패는 URL에서의 접근 제한 실패이지만, 기능수준이라는 것은 URL 이외의 모든 것은 말한다. 이것의 정의는 인가되지 않은 사용자가 특정 인증이 필요한 기능에 정상적인 인정절차 없이 접근이 가능하도록 되는 취약점이라고 한다. 쉽게 말해, 웹 어플리케이션이 페이지들에 접근될 때 마다 접근 통제 확인이 필요하다. 하지만 이러한 행위가 이루어지지 않고 권한이 없는 사용자가 접근을 하는 경우가 있다. 이런 경우를 접근 제한 실패 또는 접근 통제 누락이라고 한다. 예를 들어 설명해보자면, 관리자 페이지는 웹 서비스의 사용자나 데이터, 콘텐츠를 손쉽게 관리하기 위한 목적으로 다양한 기능과 권한을 갖고 있고 이는 홈페이지의 운영에 매우 중요한 역할을 하고 있으므로 일반 사용자는 인증을 통과하지 못하도록 할 뿐 만 아니라 일반 사용자가 관리자 페이지를 볼 수 없도록 해야 한다.

참고 자료

없음