2021 OWASP Top 10 라이트보드 학습 비디오 시리즈

John이 OWASP Top 10이란 무엇인지 설명합니다. 증상과 근본 원인, 새로운 위험 범주, 최신 어플리케이션 아키텍처에 대한 위험 재교육과 같은 주제를 중점적으로 다룹니다. 10대 위험 요소 각각에 대한 비디오를 시청하십시오.

테스트한 앱 중 94%에서 일종의 취약한 액세스 제어 문제가 나타났습니다. 실패할 경우 무단 공개, 데이터의 수정 또는 파기, 권한 상승이 발생할 수 있으며, 이로 인해 계정 탈취(ATO), 데이터 유출, 벌금, 브랜드 손상 등이 초래될 수 있습니다.

암호화 실패(이전에는 "민감한 데이터 노출"로 알려짐)는 민감한 데이터 노출 및 사용자 세션 하이재킹으로 이어집니다. 광범위한 TLS 1.3 채택에도 불구하고, 구형 프로토콜과 취약한 프로토콜이 여전히 사용되고 있습니다.

주입은 신뢰할 수 없는 입력 때문에 앱 프로그램 실행이 변경되는 광범위한 공격 벡터 클래스입니다. 이로 인해 데이터 도난, 데이터 무결성 손상, 서비스 거부 및 전체 시스템 손상이 발생할 수 있습니다. 주입은 더 이상 최고의 위험이 아니지만 여전히 강력합니다.

보안은 어플리케이션에 내재되어야 합니다. 보안 설계에는 여전히 취약성으로 이어지는 구현 결함이 있을 수 있습니다. 안전하지 않은 설계는 완벽한 구현으로도 해결할 수 없습니다.

잘못된 보안 구성은 클라우드 침해의 주요 원인입니다. 최신 앱 개발, 소프트웨어 재사용, 클라우드 전반의 무분별한 아키텍처 확장이 이러한 위험을 증가시키므로 무엇을 해야 할지 알아보고 피하십시오.

오픈 소스 소프트웨어 공격으로 인해 수많은 대형 보안 사고가 발생합니다. 최근의 Log4j2 취약성은 아마도 현재까지 이 범주에서 가장 심각한 위험 요소입니다.

신원을 확인하고 강력한 인증 및 세션 관리를 사용하여 비즈니스 논리의 악용을 방지해야 합니다. 대부분의 인증 공격은 암호의 지속적인 사용을 추적합니다. 손상된 자격 증명, 봇넷 및 정교한 도구는 자격 증명 스터핑과 같은 자동화된 공격에 매력적인 ROI를 제공합니다.

이 새로운 위험 범주는 무결성을 검증하지 않고 소프트웨어 업데이트, 중요 데이터 및 CI/CD 파이프라인과 관련된 가정을 만드는 데 중점을 둡니다. SolarWinds 공급망 공격은 지금까지 발생한 공격 중 가장 피해가 큰 공격 중 하나입니다.