2021 OWASP TOP 10 초안

https://owasp.org/Top10

OWASP Top 10

​

OWASP 웹 해킹 TOP 10 2021년 초안이 공개되었습니다. 3년~4년 마다 갱신이 되고 있으며, 모의해킹 업무 할 때 기준이 되고 있는 항목입니다. SSRF 취약점 이슈도 커지는 만큼 이번에 TOP 10 안에 포함되었네요.

​

​

[본문 번역]

A01:2021-Broken Access Control이 다섯 번째 위치에서 위로 이동합니다. 애플리케이션의 94%가 어떤 형태로든 손상된 액세스 제어에 대해 테스트되었습니다. Broken Access Control에 매핑된 34개의 CWE는 다른 범주보다 애플리케이션에서 더 많이 발생했습니다.

​

A02:2021-암호화 실패는 근본 원인이 아니라 광범위한 증상이었던 이전에 민감한 데이터 노출로 알려진 #2로 한 위치 이동합니다. 여기서 새로운 초점은 종종 민감한 데이터 노출 또는 시스템 손상으로 이어지는 암호화와 관련된 실패에 있습니다.

​

A03:2021-Injection 공격이 세 번째 위치로 미끄러집니다. 응용 프로그램의 94%는 특정 형태의 주입에 대해 테스트되었으며 이 범주에 매핑된 33개의 CWE는 응용 프로그램에서 두 번째로 많이 발생합니다. 교차 사이트 스크립팅은 이제 이 버전에서 이 범주의 일부입니다.

​

A04:2021-안전하지 않은 디자인은 2021년의 새로운 카테고리로, 디자인 결함과 관련된 위험에 중점을 둡니다. 업계에서 진정으로 "좌파로 이동"하려면 위협 모델링, 보안 설계 패턴 및 원칙, 참조 아키텍처를 더 많이 사용해야 합니다.

​

A05:2021-보안 구성 오류가 이전 버전의 #6에서 위로 이동합니다. 애플리케이션의 90%가 어떤 형태의 잘못된 구성에 대해 테스트되었습니다. 고도로 구성 가능한 소프트웨어로 더 많이 이동함에 따라 이 범주가 상승하는 것은 놀라운 일이 아닙니다. XML 외부 엔터티(XXE)에 대한 이전 범주는 이제 이 범주의 일부입니다.

​

A06:2021-취약점 및 오래된 구성 요소는 이전에 알려진 취약성이 있는 구성 요소 사용이라는 제목이었으며 업계 설문 조사에서 2위를 차지했지만 데이터 분석을 통해 상위 10위 안에 들 수 있을 만큼 충분한 데이터를 보유하고 있습니다. 이 범주는 2017년의 9위에서 한 단계 올라갔으며 우리가 위험을 테스트하고 평가하는 데 어려움을 겪고 있는 알려진 문제입니다. 포함된 CWE에 매핑된 CVE가 없는 유일한 범주이므로 기본 익스플로잇 및 영향 가중치 5.0이 점수에 반영됩니다.

​

A07:2021-식별 및 인증 실패는 이전에 인증 실패였으며 두 번째 위치에서 아래로 내려가고 있으며 이제 식별 실패와 더 관련이 있는 CWE를 포함합니다. 이 범주는 여전히 Top 10의 필수적인 부분이지만 표준화된 프레임워크의 가용성 증가가 도움이 되는 것 같습니다.

​

A08:2021-소프트웨어 및 데이터 무결성 오류는 무결성을 확인하지 않고 소프트웨어 업데이트, 중요한 데이터 및 CI/CD 파이프라인과 관련된 가정에 중점을 둔 2021년의 새로운 범주입니다. 이 범주의 10개 CWE에 매핑된 CVE/CVSS 데이터에서 가장 가중치가 높은 영향 중 하나입니다. 2017년의 안전하지 않은 역직렬화는 이제 이 더 큰 범주의 일부입니다.

​

A09:2021-보안 로깅 및 모니터링 실패는 이전에 불충분한 로깅 및 모니터링이었고 업계 설문조사(#3)에서 추가되어 이전의 #10에서 한 단계 올라갔습니다. 이 범주는 더 많은 유형의 실패를 포함하도록 확장되고 테스트하기 어렵고 CVE/CVSS 데이터에 잘 표시되지 않습니다. 그러나 이 범주의 오류는 가시성, 사고 경고 및 포렌식에 직접적인 영향을 줄 수 있습니다.

​

A10:2021-서버 측 요청 위조가 업계 조사(#1)에서 추가되었습니다. 데이터는 평균 이상의 테스트 범위와 함께 상대적으로 낮은 발생률과 익스플로잇 및 영향 가능성에 대한 평균 이상의 등급을 보여줍니다. 이 범주는 현재 데이터에 설명되어 있지 않지만 업계 전문가가 이것이 중요하다고 말하는 시나리오를 나타냅니다.