웹 보안
소프트웨어 특성
기능 요건(functional requirement)
시스템 사용의 주목적이 되는 기능
사용자의 요구를 만족시킴
구체적으로 이미지화 하기 쉬움
비기능 요건(non functional requirement)
시스템 사용의 주목적은 아님
사용자의 요구를 직접적으로 만족시키는 것은 아님
직접적이지 않아 이미지화 하기 어려움
보안은 비기능 요건 중의 하나이다.
취약성(vulnerability)
부정한 방법으로 접근하거나 정보를 훔칠 수 있는 상태가 되는 보안상의 버그
소프트 웨어 설계가 불충분하거나 기술적인 실수로인해 발생함
보안 지침
일본의 정보처리추진기구(IAP)가 제보건수가 많고 영향이 큰 취약성은 다음과 같다.
SQL 인젝션
OS 커맨드 인젝션
path 파라미터 미체크 / 디렉터리 트래버설(directory traversal)
취약한 세션 관리
XSS(cross site scripting)
CSRF(corss site request forgery)
HTTP 헤더 인젝션
메일 헤더 인젝션
클릭재킹(clickjacking)
버퍼 오버플로(buffer overflow)
접근 제어, 권한 제어 누락
A01
취약한 접근 통제
다른 사용자의 데이터와 권한 변경
A02
암호화 실패
민감한 데이터 유출과 시스템 침해 관련 암호화 기술 관련 실패
A03
인젝션
XSS, SQL 인젝션 등
A04
안전성이 확인되지 않은 설계
설계 결함 관련 리스크
A05
보안 설정 실수
안전하지 않은 설정을 통해 발생하는 문제. 애플리케이션의 90%에서 설정 실수의 문제가 발생된다.
A06
취약하고 오래된 컴포넌트
취약점이 있는 라이브러리를 통한 공격과 악역향
A07
실별과 인증의 실패
사용자 식별 정보 유출
A08
소프트웨어 데이터 무결성 문제
CI/CD 파이프라인의 무결성을 검증하지 않고 소프트웨어와 중요한 데이터를 업데이트하는 문제
A09
보안 관련 로그와 모니터링 실패
모니터링 부족으로 인한 공격 감지 실패
A10
SSRF(Server Side Request Forgery)
버그를 악용해 공격자가 직접 액세스할 수 없는 서버 영역의 정보를 액세스하거나 조작하는 공격 수단
Last updated