찬란하게

[웹해킹] OWASP TOP 10_웹 취약점 본문

정보보안/웹 해킹

[웹해킹] OWASP TOP 10_웹 취약점

체리핫 2021. 5. 7. 11:16

1. OWASP

OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트이다.
주로 웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점 (
OWASP TOP 10)을 발표한다.

 

2. OWASP Top 10

OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하여 2004년, 2007년, 2010년, 2013년, 2017년을 기준으로 발표되었고, 문서가 공개되었다.

 

https://web.archive.org/web/20191201191321/https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

 

Category:OWASP Top Ten Project - OWASP

 

web.archive.org

아카이브에 이전 버전이 기록되어 있다.

 

OWASP Top 10이 중요한 이유 :

 

OWASP Top10은 소프트웨어 제품 품질을 판단하는 데에 있어서 매우 중요한 표준이라 할 수 있다.

많은 IT 프로젝트의 보안 기준이 명확하지 않기 때문에, OWASP로 보안성을 평가한다면 소프트웨어가 적어도 기본적인 보안을 갖추고 있다는 의미를 갖게 된다.

많은 소프트웨어 품질 기준이 있지만, 보안 측면에서 OWASP Top 10을 따라가긴 어렵다.

소프트웨어 품질에 대한 공식 ISO 25010 표준은 품질 측면을 제공하지만 품질 수준을 지정하지 않다.

ISO 27001 은 조직에만 적용되고 제품에는 적용되지 않고, PCI-DSS는 유용하지만 신용 카드 소프트웨어에만 적용된다.

그래서 프로젝트에서 OWASP를 사용하여 최소한의 보안성을 갖추어야 한다.

 

2013 VS 2017
https://ictinstitute.nl/owasp-top-10-vulnerabilities/