목차

1. A1 – 인젝션
2. A2 – 크로스 사이트 스크립팅 XSS
3. A3 – 취약한 인증과 세션 관리
4. A4 – 취약한 직접 객체 참조
5. A5 – 크로스 사이트 요청 변조(CSRF)
6. A6 – 보안상 잘못된 구성
7. A7 – 안전하지 않은 암호 저장
8. A8 – URL 접근 제한 실패
9. A9 – 불충분한 전송 계층 보호
10. A10 – 검증되지 않은 리다이렉트 및 포워드
11. A6 – 민감한 데이터 노출
12. A7 – 기능 수준의 접근 통제 누락
13. A9 – 알려진 취약점이 있는 컴포넌트 사용
14. A4 – XML 외부 개체
15. A5 – 취약한 접근 통제
16. A8 – 안전하지 않은 역직렬화
17. A10 – 불충분한 로깅 및 모니터링

본문내용

A1 – 인젝션
인젝션: 공격자가 악의적인 데이터를 통해 예기치 않은 명령을 실행하거나 권한이 없는 데이터에 접근할 수 있도록 인터프리터를 속여서 데이터 손실이나 변조 및 시스템 권한을 획득 하는 취약점 이다.

취약점 확인 방법
1. 모든 인터프리터들의 사용을 신뢰할 수 없는 데이터를 명령어 또는 질의로 부터 명확하게 분리함
2. 코드를 분석
3. 자동화된 동적 스캐닝을 이용해서 악용되는 인젝션 결함 존재 탐지

예방 방법
1. 인터프리터를 사용하지 않는 안전한 API .or 변수화된 인터페이스를 제공하여 사용
2. API 사용 불가시 특화된 이스케이핑 구문을 사용해서 특수문자 신중히 처리

A2 – 크로스 사이트 스크립팅 XSS
XSS
콘텐츠를 암호화나 검증하는 절차가 없이 공격자가 피해자의 브라우저 내에서 스크립트의 실행을 허용하도록 함으로써 세션 하이재킹이나, 웹 사이트를 손상하거나 웜을 심는 것 등

취약점 확인 방법
1. 출력 페이지에서 해당 입력 값을 포함하기 전 모든 사용자가 제공한 입력이 제대로 이스케이프 되었는지 확인하지 않거나, 입력 유효성 검증을 하지 않음
2. 자동화된 도구는 자동적으로 XSS 문제점을 탐지하나 전체적인 범위에서 수동으로 코드를 검토하고 침투 시험이 필요

예방 방법
1. HTML 문맥에 따라 모든 신뢰할 수 없는 데이터를 올바르게 이스케이핑 함
2. 입력 값 검증 시 포지티브 또는 화이트 리스트 방식 사용
3. 콘텐츠 보안정책 (CSP) 사용

A3 – 취약한 인증과 세션 관리
취약한 인증과 세션 관리
공격자가 다른 사용자의 신분으로 위조 또는 가장 할 수 있도록 패스워드나 세션을 위태롭게 하거나 구현된 다른 결함들을 악용할 수 있게 허용하도록 하는 취약점

취약점 확인 방법
1. 사용자 인증 정보가 저장될 때 암호화나 해시를 사용하지 않는다
2. 인증 정보가 취약한 계정관리기능을 통하여 추측되거나 덮어쓰기가 가능
3. 세션 ID가 URL에 노출
4. 세션 ID가 세션 고정 공격에 취약

참고 자료

없음