목차

1. OWASP TOP 10의 종류

2. 어플리케이션 보안 위험

3. OWASP TOP 10
1) A1 인젝션
2) A2 인증 및 세션 관리 취약점
3) A3 크로스사이트스크립팅(XSS)
4) A4 취약한 접근 제어
5) A5 보안 설정 오류
6) A6 민감 데이터 노출
7) A7 공격 방어 취약점
8) A8 크로스사이트 요청 변조(CSRF)
9) A9 알려진 취약점이 있는 컴포넌트 사용
10) A10 취약한(underprotected) API

본문내용

☞ 취약점 확인
출력 페이지에서 해당 입력 값을 포함하기 전에, 모든 사용자가 제공한 입력이 제대로 이스케이프 되었는지 확인하지 않거나, 입력 유효성검사를 통해 안전을 검증하지 않는다면 XSS에 취약하다. 적절한 출력값 이스케이핑 또는 유효성 검사 없이, 브라우저에서 입력이 되면 활성화된 콘텐츠로 처리된다. 동적으로 페이지를 업데이트하는데 Ajax를 사용하는 경우, 안전한 JavaScript APIs 를 사용하고 있는가? 안전하지 않은 자바스크립트 API에 대한 인코딩 또는 유효성 검사도 해야 한다..

자동화된 도구는 자동적으로 일부 XSS 취약점을 찾을 수 있다. 하지만, 각각의 어플리케이션은 산출물 페이지를 다르게 보여주고, JavaScript, ActiveX, Flash 및 Silverlight와 같은 다양한 브라우저 측 인터프리터를 사용하며, 일반적으로 이러한 기술 위에 구축된 3rd party 라이브러리를 사용한다. 이런 다양성으로 인해 자동화 검색이 어려워지며, 특히 최신 싱글페이지 어플리케이션과 강력한 JavaScript 프레임워크 및 라이브러리를 사용하는 경우 더욱 그렇다. 따라서, 자동 접근 방식뿐만 아니라, 전체범위에서 소스 코드 진단과 침투테스트가 필요하다.

☞ 보안대책
XSS를 방지하려면, 활성 브라우저 콘텐츠와 신뢰할 수 없는 데이터를 분리해야 한다.
1. Server XSS 보안은 HTML 컨택스트(body, attribute, 자바스크립트, CSS, URL)에 기초한 신뢰하지 않은 데이터를 적절하게 이스케이핑 하는 것이 좋다.

2. Client XSS를 보안은 다른 API브라우저와 자바스크립트에 신뢰되지 않은 데이터를 통과하지 않게 하면, 동적 컨텐츠를 만들 수 있다. 또한 OWASP DOM based XSS Prevention Cheat Sheet에 설명된 비슷한 문맥을 교묘하게 이스케이프하는 기술을 브라우저 API에 적용할 수 있다.

참고 자료

없음