2021 OWASP Top 10 Lightboard 레슨 비디오 시리즈

존은 OWASP Top 10이 무엇인지 설명하면서 시작합니다. 그는 증상과 근본 원인을 중심으로 한 위험 재조정, 새로운 위험 범주, 최신 애플리케이션 아키텍처와 같은 주제를 강조합니다. 각각의 상위 10가지 위험에 대한 영상을 시청해 보세요.

테스트한 앱의 94%에서 어떤 형태로든 액세스 제어가 손상된 것으로 나타났습니다. 장애로 인해 승인되지 않은 데이터 공개, 수정 또는 파괴, 권한 상승이 발생할 수 있으며, 계정 인수(ATO), 데이터 침해, 벌금 및 브랜드 손상으로 이어질 수 있습니다.

이전에 "민감한 데이터 노출"로 알려졌던 암호화 실패는 민감한 데이터 노출 및 사용자 세션 하이재킹으로 이어집니다. TLS 1.3이 널리 채택되었음에도 불구하고 오래되고 취약한 프로토콜이 여전히 활성화되어 있습니다.

주입은 신뢰할 수 없는 입력이 앱 프로그램 실행을 변경하는 광범위한 공격 벡터입니다. 이로 인해 데이터 도난, 데이터 무결성 손상, 서비스 거부, 전체 시스템 손상이 발생할 수 있습니다. 주사는 더 이상 가장 위험한 방법은 아니지만, 여전히 위험합니다.

보안은 애플리케이션에 내재되어 있어야 합니다. 안전한 설계에도 구현상의 결함이 있어 취약점이 발생할 수 있습니다. 안전하지 않은 설계는 완벽한 구현으로 해결할 수 없습니다.

보안 오류는 클라우드 침해의 주요 원인입니다. 최신 앱 개발, 소프트웨어 재사용, 클라우드 전반의 아키텍처 확산으로 인해 이런 위험이 커짐에 따라 무엇을 해야 하고 무엇을 피해야 하는지 알아보세요.

대부분의 가장 심각한 보안 사고는 오픈소스 소프트웨어 악용으로 인해 발생합니다. 최근의 Log4j2 취약점은 지금까지 이 범주에서 가장 심각한 위험일 수 있습니다.

비즈니스 로직 남용을 방지하려면 신원을 확인하고 강력한 인증 및 세션 관리를 사용하는 것이 중요합니다. 대부분의 인증 공격은 비밀번호의 지속적인 사용에서 비롯됩니다. 침해된 자격 증명, 봇넷 및 정교한 도구는 자격 증명 스터핑과 같은 자동화된 공격에 대한 매력적인 ROI를 제공합니다.

이 새로운 위험 범주는 무결성을 검증하지 않고 소프트웨어 업데이트, 중요 데이터 및 CI/CD 파이프라인과 관련된 가정을 하는 데 초점을 맞춥니다. SolarWinds 공급망 공격은 우리가 본 가장 큰 피해 중 하나입니다.