OWASP Top 10 2021, 무엇이 바꼈을까?
OWASP Top 10 이란?
OWASP(Open Web Application Security Project) Top 10은 웹 어플리케이션에서 일반적으로 발견되는 가장 크리티컬한 보안 취약점 목록입니다. OWASP Top 10은 조직이 직면한 최신 보안 위협 및 위험을 반영하기 위해 약 3~4년 주기로 업데이트됩니다.
OWASP Top 10 2021의 변경 사항
1) A03: 2017 - Sensitive Data Exposure(민감 데이터 노출)의 명칭이 Cryptographic Failure(암호화 오류)로 변경되었고, 중요도는 한 단계 상승하였습니다. 민감 데이터 노출의 근본적인 원인이 암호화이기 때문에 조금 더 근원적인 취약점으로 변경되었습니다.
2) 2021년에 추가된 카테고리인 A04: 2021 - Insecure Design(취약한 설계)은 보안 취약성으로 이어질 수 있는 웹 애플리케이션 설계의 취약점을 말합니다. 설계 단계에서 웹 애플리케이션이 보안을 제대로 고려하지 못해 공격자가 악용할 수 있는 보안 취약점이 도입될 수 있는 것을 의미합니다.
3) 마찬가지로 신규 카테고리인 A08:2021-Software and Data Integrity Failures(소프트웨어 및 데이터 무결성 오류) 는 무결성을 확인하지 않고 소프트웨어 업데이트, 중요 데이터 및 CI/CD 파이프라인과 관련된 가정을 하는데 포커스를 둡니다. A08: 2017 - Insecure Deserialization 은 이 카테고리로 편입되었습니다.
4) A10: 2021 - Server-Side Request Forgery(SSRF)가 커뮤니티 설문 결과를 토대로 새롭게 추가되었습니다. 발생확률이 높지는 않지만 커뮤니티에서 많이 언급되고 평균치 이상의 취약 잠재성을 보유한 것으로 평가되었습니다.
OWASP Top 10 2021 전체 리스트
A01 : Broken Access Control (접근 권한 취약점)
A02 : Cryptographic Failures (암호화 오류)
A03: Injection (인젝션)
A04: Insecure Design (안전하지 않은 설계)
A05: Security Misconfiguration (보안설정오류)
A06: Vulnerable and Outdated Components (취약하고 오래된 요소)
A07: Identification and Authentication Failures (식별 및 인증 오류)
A08: Software and Data Integrity Failures(소프트웨어 및 데이터 무결성 오류)
A09: Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패)
A10: Server-Side Request Forgery (서버 측 요청 위조)
참고 자료
Welcome to the OWASP Top 10 - 2021(https://owasp.org/Top10/)
2021 OWASP TOP10 (https://blog.alyac.co.kr/4135)