시청하고 배우기

2021 OWASP Top 10 Lightboard 레슨 비디오 시리즈

새로운 위험과 중대한 위험으로부터 웹 앱을 보호하세요

OWASP Top 10은 웹 애플리케이션의 가장 심각한 보안 위험에 대한 폭넓은 합의입니다. 2021년 업데이트에서는 최신 웹 애플리케이션과 아키텍처를 악용, 남용 및 잘못된 구성으로부터 보호하는 데 도움이 되는 지침을 제공하며 소프트웨어 공급망, CI/CD 파이프라인, 오픈 소스 소프트웨어와 관련된 새로운 위험을 완화하기 위한 권장 사항도 제공합니다.

F5 DevCentral에서 2021 OWASP Top 10 Lightboard Lesson 시리즈를 시청하여 새로운 OWASP Top 10에 대한 세부 정보를 확인하고 다음 사항을 알아보세요.

  • OWASP가 웹 애플리케이션의 가장 심각한 보안 위험 10가지 목록을 작성한 방법.
  • 2021년의 주요 변경 사항에는 증상을 근본 원인에 맞게 조정하기 위해 위험 재분류가 포함됩니다.
  • 각 위험이 언제 발생하는지, 각 위험이 중요한 이유는 무엇인지, 그리고 보안 태세를 개선하는 방법에 대해 설명합니다.

OWASP(Open Web Application Security Project)는 소프트웨어의 보안을 향상하기 위해 노력하는 비영리 재단입니다. OWASP는 개발자와 보안 실무자를 위한 상위 10개 웹 애플리케이션 보안 위험 표준 인식 문서를 포함한 다양한 프로젝트를 유지 관리하고 있습니다.

OWASP Top 10 개요
 

OWASP Top 10 개요

존은 OWASP Top 10이 무엇인지 설명하면서 시작합니다. 그는 증상과 근본 원인을 중심으로 한 위험 재조정, 새로운 위험 범주, 최신 애플리케이션 아키텍처와 같은 주제를 강조합니다. 각각의 상위 10가지 위험에 대한 영상을 시청해 보세요.


 

2021 OWASP Top 10: 깨진 액세스 제어

테스트한 앱의 94%에서 어떤 형태로든 액세스 제어가 손상된 것으로 나타났습니다. 장애로 인해 승인되지 않은 데이터 공개, 수정 또는 파괴, 권한 상승이 발생할 수 있으며, 계정 인수(ATO), 데이터 침해, 벌금 및 브랜드 손상으로 이어질 수 있습니다.


 

2021 OWASP Top 10: 암호화 실패

이전에 "민감한 데이터 노출"로 알려졌던 암호화 실패는 민감한 데이터 노출 및 사용자 세션 하이재킹으로 이어집니다. TLS 1.3이 널리 채택되었음에도 불구하고 오래되고 취약한 프로토콜이 여전히 활성화되어 있습니다.


 

2021 OWASP Top 10: 주입

주입은 신뢰할 수 없는 입력이 앱 프로그램 실행을 변경하는 광범위한 공격 벡터입니다. 이로 인해 데이터 도난, 데이터 무결성 손상, 서비스 거부, 전체 시스템 손상이 발생할 수 있습니다. 주사는 더 이상 가장 위험한 방법은 아니지만, 여전히 위험합니다.


 

2021 OWASP Top 10: 안전하지 않은 디자인

보안은 애플리케이션에 내재되어 있어야 합니다. 안전한 설계에도 구현상의 결함이 있어 취약점이 발생할 수 있습니다. 안전하지 않은 설계는 완벽한 구현으로 해결할 수 없습니다.


 

2021 OWASP Top 10: 보안 오류

보안 오류는 클라우드 침해의 주요 원인입니다. 최신 앱 개발, 소프트웨어 재사용, 클라우드 전반의 아키텍처 확산으로 인해 이런 위험이 커짐에 따라 무엇을 해야 하고 무엇을 피해야 하는지 알아보세요.


 

2021 OWASP Top 10: 취약하고 오래된 구성 요소

대부분의 가장 심각한 보안 사고는 오픈소스 소프트웨어 악용으로 인해 발생합니다. 최근의 Log4j2 취약점은 지금까지 이 범주에서 가장 심각한 위험일 수 있습니다.


 

2021 OWASP Top 10: 식별 및 인증 실패

비즈니스 로직 남용을 방지하려면 신원을 확인하고 강력한 인증 및 세션 관리를 사용하는 것이 중요합니다. 대부분의 인증 공격은 비밀번호의 지속적인 사용에서 비롯됩니다. 침해된 자격 증명, 봇넷 및 정교한 도구는 자격 증명 스터핑과 같은 자동화된 공격에 대한 매력적인 ROI를 제공합니다.


 

2021 OWASP Top 10: 소프트웨어 및 데이터 무결성 실패

이 새로운 위험 범주는 무결성을 검증하지 않고 소프트웨어 업데이트, 중요 데이터 및 CI/CD 파이프라인과 관련된 가정을 하는 데 초점을 맞춥니다. SolarWinds 공급망 공격은 우리가 본 가장 큰 피해 중 하나입니다.


 

2021 OWASP Top 10: 보안 로깅 및 모니터링 실패

앱 활동을 적절하게 기록하고 모니터링하지 않으면 침해를 감지할 수 없습니다. 그렇지 않으면 가시성, 사고 알림 및 포렌식에 직접적인 영향을 미칩니다. 공격자가 감지되지 않는 시간이 길어질수록 시스템이 손상될 가능성이 커집니다.


 

2021 OWASP Top 10: 서버 사이드 요청 포저

SSRF 취약점은 웹 앱이 사용자가 제공한 URL을 검증하지 않고 원격 리소스를 가져올 때 발생합니다. 공격자는 방화벽, VPN 또는 기타 네트워크 액세스 제어 목록(ACL)으로 보호되어 있어도 예상치 못한 대상으로 요청을 보내도록 앱을 강요할 수 있습니다.