OWASP 2017 보안 위협 기반의 주요정보통신기반시설 웹 취약점 항목 매핑표
2017년 OWASP TOP 10과 주요정보통신기반시설의 웹 취약점 항목을 비교하였는데 뭔가 맘에 안드네요. 일단 다시 작성하기 전에 아까워서 매핑표를 기록해 둡니다.
OWASP 2017 기반의 기반시설 취약점 분류표.xlsx
※ OWASP TOP10 위협 기반의 기반시설 웹 취약점 항목표
구분 | 진단 항목 |
A1. 익젝션 | ○
신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부로 보내질때 발생하는 취약점 - SQL, LDAP, XPath, SSI 인젝션 |
A2. 인증 및 세션관리 취약점 | ○ 취약한 암호, 키 또는
세션 토큰을 제공하여 다른 사용자의 권한이 노출되는 취약점 - 세션 예측, 불충분한 세션만료, 세션고정, 쿠기변조 |
A3. 크로스 사이트 스크립팅 | ○ 적절한 유효성 검사 또는
이스케이프 처리 부재로 악의적인 스크립트를 삽입할 수 있는 취약점 - 악성콘텐츠, 크로스사이트스크립팅 |
A4. 취약한 접근 제어 | ○ 인증된 사용자만이 수행할
수 있는 기능에 권한 제한이 부재하여 기능 조작이 가능한 취약점 - 불충분한 인증/인가, 프로세스 검증누락, 파일 다운로드, 관리자페이지 노출, 경로추적, 위치공개 |
A5. 보안 설정 오류 | ○ 웹 서비스의 기본 보안
설정을 그대로 사용하거나 최신 버전으로 관리하지 않아 발생하는 취약점 - 디렉토리 인덱싱 |
A6. 민감 데이터 노출 | ○ 금융정보, 건강정보,
개인식별 정보와 같은 민감정보를 안전하게 보호하지 못해서 노출되는 취약점 - 정보누출, 약한 문자열강도, 취약한 패스워드 복구, 데이터 평문전송 |
A7. 공격 방어 취약점 | ○ 시큐어코딩을 통한 입력값
검사를 뛰어넘어 자동 탐지, 로깅, 응답 및 익스플로잇 시도 차단이 미흡한 취약점 - 자동화 공격 |
A8. 크로스 사이트 요청 변조 | ○ 피해자의 권한으로 위조된
HTTP 요청을 강제로 보낼 수 있는 취약점 - 크로스사이트 리퀘스트 변조 |
A9. 알려진 취약점이 있는 컴포너트 사용 | ○ 알려진 취약점이 존재하는 컴포넌트를 사용한 어플리케이션 및 API가 노출되어 발생하는 취약점 |
A10. 취약한 API | ○ API를 통해서 연결된 웹 브라우저 및 모바일 어플리케이션의 API가 보호되지 않아 발생하는 취약점 |
기타 | ○
OWASP 분류 외 주요정보통신기반시설 취약점 항목 - 버퍼오버플로우, 포멧스트링, 파일 업로드 등 |
주요정보통신 기반시설 점검항목
코드 | 취약점명 | 설 명 | 등급 |
BO | 버퍼오버플로우 | 메모리나 버퍼의 블록 크기보다 더 많은 데이터를 넣음으로써 결함을 발생시키는 취약점 | 상 |
FS | 포맷스트링 | 스트링을 처리하는 부분에서 메모리 공간에 접근할 수 있는 문제를 이용하는 취약점 | 상 |
LI | LDAP인젝션 | LDAP(Lightweight Directory Access Protocol) 쿼리를 주입함으로서 개인정보 등의 내용이 유출될 수 있는 문제를 이용하는 취약점 | 상 |
OC | 운영체제명령실행 | 웹사이트의 인터페이스를 통해 웹서버를 운영하는 운영체제 명령을 실행하는 취약점 | 상 |
SI | SQL인젝션 | SQL문으로 해석될 수 있는 입력을 시도하여 데이터베이스에 접근할 수 있는 취약점 | 상 |
SS | SSI인젝션 | SSI(Server-side Include)는 “Last modified"와 같이 서버가 HTML 문서에 입려갛는 변수 값으로, 웹서버상에 있는 파일을 include 시키고, 명령문이 실행되게 하여 데이터에 접근할 수 있는 취약점 | 상 |
XI | XPath인젝션 | 조작된 XPath(XML Path Language) 쿼리를 보냄으로써 비정상적인 데이터를 쿼리해 올 수 있는 취약점 | 상 |
DI | 디렉토리인덱싱 | 요청 파일이 존재하지 않을 때 자동적으로 디렉토리 리스트를 출력하는 취약점 | 상 |
IL | 정보누출 | 웹 사이트 데이터가 노출되는 것으로 개발과정의 코멘트나 오류 메시지 등에서 중요한 정보가 노출되어 공격자에게 2차 공격을 하기 위한 중요한 정보를 제공할 수 있는 취약점 | 상 |
CS | 악성콘텐츠 | 웹애플리케이션에 정상적인 컨텐츠 대신에 악성 컨텐츠를 주입하여 사용자에게 악의적인 영항을 미치는 취약점 | 상 |
XS | 크로스사이트스크립팅 | 웹애플리케이션을 사용해서 다른 최종 사용자의 클라이언트에서 임의의 스크립트가 실행되는 취약점 | 상 |
BF | 약한문자열강도 | 사용자의 이름이나 패스워드, 신용카드 정보나 암호화 키 등을 자동으로 대입하여 여러 시행착오 후에 맞는 값이 발견되는 취약점 | 상 |
IA | 불충분한 인증 | 민감한 데이터에 접근할 수 있는 곳에 취약한 인증 메커니즘으로 구현된 취약점 | 상 |
PR | 취약한 패스워드 복구 | 취약한 패스워드 복구 메커니즘(패스워드 찾기 등)에 대해 공격자가 불법적으로 다른 사용자의 패스워드를 획득, 변경, 복구할 수 있는 취약점 | 상 |
CF | 크로스사이트 리퀘스트변조(CSRF) | CSRF 공격은 로그온한 사용자 브라우저로 하여금 사용자의 세션 쿠키와 기타 인증 정보를 포함하는 위조된 HTTP 요청을 취약한 웹애플리케이션에 전송하는 취약점 | 상 |
SE | 세션 예측 | 단순히 숫자가 증가하는 방법 등의 취약한 특정 세션의 식별자(ID)를 예측하여 세션을 가로챌 수 있는 취약점 | 상 |
IN | 불충분한 인가 | 민감한 데이터 또는 기능에 대한 접근권한 제한을 두지 않은 취약점 | 상 |
SC | 불충분한 세션만료 | 세션의 만료 기간을 정하지 않거나, 만료일자를 너무 길게 설정하여 공격자가 만료되지 않은 세션 활용이 가능하게 되는 취약점 | 상 |
SF | 세션고정 | 세션값을 고정하여 명확한 세션 식별자(ID) 값으로 사용자가 로그인하여 정의된 세션 식별자(ID)가 사용 가능하게 되는 취약점 | 상 |
AU | 자동화공격 | 웹애플리케이션에 정해진 프로세스에 자동화된 공격을 수행함으로써 자동으로 수많은 프로세스가 진행되는 취약점 | 상 |
PV | 프로세스검증누락 | 공격자가 응용의 계획된 플로우 통제를 우회하는 것을 허가하는 취약점 | 상 |
FU | 파일업로드 | 파일을 업로드 할 수 있는 기능을 이용하여 시스템 명령어를 실행할 수 있는 웹 프로그램을 업로드 할 수 있는 취약점 | 상 |
FD | 파일다운로드 | 파일 다운로드 스크립트를 이용하여 첨부된 주요 파일을 다운로드 할 수 있는 취약점 | 상 |
AE | 관리자페이지 노출 | 단순한 관리자 페이지 이름(admin, manager 등)이나 설정, 프로그램 설계상의 오류로 인해 관리자 메뉴에 직접 접근할 수 있는 취약점 | 상 |
PT | 경로추적 | 공격자에게 외부에서 디렉터리에 접근할 수 있는 것이 허가되는 문제점으로 웹 루트 디렉터리에서 외부의 파일까지 접근하고 실핼할 수 있는 취약점 | 싱 |
PL | 위치공개 | 예측 가능한 디렉토리나 파일명을 사용하여 해당 위치가 쉽게 노출되어 공격자가 이를 악용하여 대상에 대한 정보와 민감한 정보가 담긴 데이터에 접근이 가능하게 되는 취약점 | 상 |
SN | 데이터평문전송 | 서버와 클라이언트간 통신 시 암호화하여 전송을 하지 않아 중요 정보 등이 평문으로 전송되는 취약점 | 상 |
CC | 쿠키변조 | 적절히 보호되지 않은 쿠키를 사용하여 쿠키 인젝션 등과 같은 쿠키 값 변조를 통한 다른 사용자로의 위장 및 권한 상승 등이 가능한 취약점 | 상 |