owasp 2013
|
injection |
인적션 하는것 |
|
broken authentication and session management |
인증과 세션관리와 관련된 어플의 비정상적인 동작으로 인해 패스워드, 키, 세션토큰 및 사용자도용과 같은 취약점 발생 |
|
xss(cross-site script) |
신뢰할 수 없는 외부 값을 적절한 검증 없이 웹 브라우저로 전송하는 경우 발생하는 취약점, 세션 가로채기, 홈페이지 변조, 악의적인 사이트 이동 등의 공격을 수행 |
|
insecure direct object reference |
파일, 디렉토리, 데이터베이스 키와 같은 내부적으로 처리되는 오브젝트가 노출되는 경우, 다운로드 취약점 등을 이용하여 시스템 파일에 접근하는 취약점 등을 의미 |
|
secure misconfiguration |
어플, 프레임워크, 서버, db서버, 플랫폼 등에 보안 설정을 적절하게 설정하고, 최적화된 값으로 유지하며 또한 소프트웨어는 최신의 업데이트 상태로 유지하여야 한다. |
|
sensitive data exposure |
민감정보- 카드번호, 개인정보를 적절하게 보호 하고 있지 않아...생기는 취약점 |
|
missing function level access control |
기능접근제한권한을 검증해야 하나, 어플리케이션은 각 기능에 대한 접근 시 동일한 접근 통제 검사 수해이 요구, 만일 적절하게 수행되지 않ㅇ는 경우 공격자는 비인가된 기능에 접근하기 위해, 정상적인 요청을 변조할 수 있다. |
|
cross site request forgery(CSRF) |
로그온된 피해자의 웹 브라우저를 통해, 세션쿠키 및 기타 다른 인증정보가 포함된 변조된 http 요청을 전송시켜, 정상적인 요청처럼 보이게 하는 기법으로 물품구매, 사이트 글 변조 등의 악의적인 행동을 하는 취약점을 의미 |
|
using known bunerable components |
슈퍼유저권한으로 운영되는 취약한 라이브러리, 프레임워크 및 기타 다른 소프트웨어 모듈로 인해 데이터 유실 및 서버 권한획득과 같은 취약성이 존재 |
|
unvalidated redirects and forwards |
웹 어플리케이션에 접속한 사용자를 다른 페이지로 분기 시키는 경우, 이동되는 목적지에 대한 검증부재 시, 피싱 악성코드 사이트 등의 접속 및 인가되지 않는 페이지 접근 등의 문제점을 일이킬 수 있다. |
aibxi ssm cuu
'IT 연구회' 카테고리의 다른 글
| OWASP Top10 2017 (0) | 2017.08.08 |
|---|---|
| 양자암호통신(Quantum) (1) | 2017.08.07 |
| Fog Computing (0) | 2017.07.30 |
| Decision Tree (1) | 2017.07.05 |
| SLA(Service Level Agreement) (0) | 2017.07.04 |
| AAA (0) | 2016.10.28 |
| [파일 타입] jmimemagic을 활용한 파일 타입 구분 (0) | 2016.05.06 |
| [네트워크] 네트워크 설정 파일 (0) | 2016.02.13 |
| [정보보안] 스시템 위험성에 따른 log 단계 (0) | 2016.02.10 |
| [정보보안] 포트별 취약성 권고안 (0) | 2016.02.10 |