(2013 과 2017 비교)
(변화된 내용 출처 : http://blog.naver.com/renucs/220981325968)
A1. 익젝션
○ 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부로 보내질때 발생하는 취약점
- SQL, LDAP, XPath, SSI 인젝션
A2. 인증 및 세션관리 취약점
○ 취약한 암호, 키 또는 세션 토큰을 제공하여 다른 사용자의 권한이 노출되는 취약점
- 세션 예측, 불충분한 세션만료, 세션고정, 쿠기변조
A3. 크로스 사이트 스크립팅
○ 적절한 유효성 검사 또는 이스케이프 처리 부재로 악의적인 스크립트를 삽입할 수 있는 취약점
- 악성콘텐츠, 크로스사이트스크립팅
A4. 취약한 접근 제어
○ 인증된 사용자만이 수행할 수 있는 기능에 권한 제한이 부재하여 기능 조작이 가능한 취약점
- 불충분한 인증/인가, 프로세스 검증누락, 파일 다운로드, 관리자페이지 노출, 경로추적, 위치공개
A5. 보안 설정 오류
○ 웹 서비스의 기본 보안 설정을 그대로 사용하거나 최신 버전으로 관리하지 않아 발생하는 취약점
- 디렉토리 인덱싱
A6. 민감 데이터 노출
○ 금융정보, 건강정보, 개인식별 정보와 같은 민감정보를 안전하게 보호하지 못해서 노출되는 취약점
- 정보누출, 약한 문자열강도, 취약한 패스워드 복구, 데이터 평문전송
A7. 공격 방어 취약점
○ 시큐어코딩을 통한 입력값 검사를 뛰어넘어 자동 탐지, 로깅, 응답 및 익스플로잇 시도 차단이 미흡한 취약점
- 자동화 공격
A8. 크로스 사이트 요청 변조
○ 피해자의 권한으로 위조된 HTTP 요청을 강제로 보낼 수 있는 취약점
- 크로스사이트 리퀘스트 변조
A9. 알려진 취약점이 있는 컴포너트 사용
○ 알려진 취약점이 존재하는 컴포넌트를 사용한 어플리케이션 및 API가 노출되어 발생하는 취약점
A10. 취약한 API
○ API를 통해서 연결된 웹 브라우저 및 모바일 어플리케이션의 API가 보호되지 않아 발생하는 취약점
참고 기사 : http://www.boannews.com/media/view.asp?idx=54393&kind=3
'IT 연구회' 카테고리의 다른 글
| 토르(Tor) 네트워크 (0) | 2017.08.14 |
|---|---|
| FIDO(Fast Identity Online) (0) | 2017.08.14 |
| 시도응답(challenge-response) (0) | 2017.08.14 |
| 크라임웨어 [Crimeware] (0) | 2017.08.14 |
| 워너크라이(WannaCry) (0) | 2017.08.08 |
| 양자암호통신(Quantum) (1) | 2017.08.07 |
| Fog Computing (0) | 2017.07.30 |
| Decision Tree (1) | 2017.07.05 |
| SLA(Service Level Agreement) (0) | 2017.07.04 |
| owasp 2013 (0) | 2017.01.03 |
