OWASP TOP 10 2017년 후보 규격(Release Candidate)이 발표됐습니다. 아직 확정된 내용은 아니지만, 큰 변경을 없을 것 같습니다.
기존 2013버전과 큰 변경은 없으며 일부 취약점이 통합되고 신규 취약점이 추가됐습니다.
A1 Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)
A4 Broken Access Control (As it was in 2004)
A5 Security Misconfiguration
A6 Sensitive Data Exposure
A7 Insufficient Attack Protection (NEW)
A8 Cross-Site Request Forgery (CSRF)
A9 Using Components with Known Vulnerabilities
A10 Underprotected APIs (NEW)
OWASP TOP 10 2013년 버전과 비교하면 다음과 같습니다.
1. 통합된 항목
객체직접참조(Insecure Direct Object References), 기능 수준의 접근제어 누락(Missing Function Level Access Control) 이 '접근제어 실패(Broken Access Control)' 로 통합되었습니다.
Broken Access Control 는 OWASP TOP 10 2003/2004 버전에 있던 취약점 항목입니다.
2. 추가된 항목
불충분한 공격 방어(Insufficient Attack Protection)
보호되지 않은 API(Underprotected APIs)
두 개 항목이 추가되었습니다.
1) Insufficient Attack Protection: 자동/수동 공격에 대한 탐지, 대응, 적시 패치가 이루저지 않은 경우 발생하는 취약점.
2) Underprotected APIs: OpenAPI, JSON/XML 등을 통한 제3자가 제공하는 API 이용 시 접근제어, 인증 등이 취약할 경우 발생하는 취약점.
3. 삭제된 항목
검증되지 않은 리다이렉트(Unvalidated Redirects and Forwards) 항목은 삭제됐습니다.
확정 버전이 나와봐야 알겠지만, 현재 릴리즈 후보인 RC버전에서 큰 변경은 없을 것 같습니다.
원문은 다음 링크에서 에서 확인 가능합니다.
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=OWASP_Top_10_for_2017_Release_Candidate
'Security_Study > 웹자료' 카테고리의 다른 글
| 자바 스크립트 문자열과 vbs 스크립트 문자열 비교 (0) | 2017.01.19 |
|---|