OWASP Top10 2017 (Release Candidate) 공개

2017. 4. 15. 19:35보안 & 해킹/보안 이슈


기다리고 기다리던 새로운 소식!


OWASP Top 10 - 2017 Release Candidate 버전이 드디어 발표되었습니다. 아직까지는 최종 버전이 아니라 예비후보 버전인데요, 3년마다 갱신된다고 해서 2013년에 이은 2016년에 나오나 했더니 조금 늦네요.


OWASP Top10 Project 바로가기


예비 버전은 아래 파일 링크를 통해 받을 수 있습니다.


OWASP Top 10 - 2017 RC1-English.pdf


'OWASP Top10 - 2017 버전'은 2017년 6월 30일까지 의견 수렴을 받고 7월이나 8월 중 최종 버전을 발표할 계획입니다.






OWASP 2013과 2017. 무엇이 바뀌었나?


어플리케이션과 API의 위험요소가 지속적으로 변화하고 있습니다. 여기에는 새로운 기술(클라우드, 컨테이너, API 포함), 소프트웨어 개발 프로세스의 가속화 및 자동화, 애자일 및 DevOps, Third-party library, framework의 폭발적인 증가와 공격자(attacker)의 발전된 위협이 있다. 이러한 요인들로 인해 응용프로그램 및 API를 분석하기가 더욱 어려워졌고 위협 요소가 크게 바뀔 수도 있습니다.


OWASP Top10은 주기적으로 업데이트 되며, 이번 2017 배포버전은 다음과 같은 변경사항이 있습니다.



1) 2013-A4 취약한 직접 객체 참조(Insecure Direct Object Reference)와 A7 기능 수준의 접근 통제 누락 (Missing Function Level Access Control)이 합쳐졌습니다.


2007년 이후 Broken Access Control을 두가지 카테고리로 분리했었지만 더 이상 그럴 필요가 없다고 생각하여 다시 합쳤습니다.



2) 2017-A7 공격에 대한 방어의 불완전함(Insufficient Attack Protection)이 추가되었습니다.

- 수년동안 우리는 자동화 된 공격에 대한 불완전한 방어항목을 추가하는 것을 고려했습니다. 데이터 호출을 기반으로한 수동, 자동화된 공격에 대하여 대부분의 응용 프로그램 및 API는 탐지, 예방이 부족합니다. 또한, 응용 프로그램 및 API 소유자는 공격에 대응하여 신속한 패치를 배포할 수 있어야 합니다.



3) 2017-A10 보호하의 API(Underprotected API)들이 추가되었습니다.

- 최신 응용 프로그램과 API들(SOAP/XML, REST/JSON, RPC, GWT 등과 관련있는)은 브라우저와 모바일 앱안의 자바 스크립트와 같은 rich client Application들이 포함되는 경우가 많습니다. 이러한 API들은 종종 보호되지 않기도 하고 수많은 취약점들을 가지고 있습니다. 기관들의 이러한 주요 근래의 (위협)노출에 대해 집중할 수 있도록 하기 위하여 이 항목을 포함시켰습니다.


4) 2013-A10 검증되지 않은 리다이렉트 및 포워드(Unvalidated Redirects and Forwards)가 삭제되었습니다.

- 2010년에는 이 문제에 대한 인식을 높이기 위해 이 카테고리를 추가했었습니다. 그러나 데이터상으로는 예상보다 널리 퍼지지 않았습니다. 그래서 마지막 Top10의 두개의 릴리즈 버전에서는 컷을 만들지 않았습니다.




NOTE: Top10은 주요 위협 영역을 중심으로 구성되어 있으며 기밀, 중복, 엄격한 분류가 되길 의도하지는 않았습니다. 이중 일부는 공격자, 취약성, 방어 및 자산과 관련되어 정리되었다. 조직은 이러한 문제를 근절하기 위한 계획 수립을 해야합니다.