OWASP의 2021 목록 셔플 : 새로운 전투 계획과 기본 적

게시일: Oct 05, 2021
작성자: 마티아스 마두, Ph.
사례 연구

OWASP의 2021 목록 셔플 : 새로운 전투 계획과 기본 적

게시일: Oct 05, 2021
작성자: 마티아스 마두, Ph.
리소스 보기
리소스 보기

이 점점 더 혼란 스러운 세계에서, 항상 사람들이 안정적으로 믿을 수 있는 몇 가지 상수가 있다: 태양 아침에 상승 하 고 밤에 다시 설정, 마리오 는 항상 소닉 고슴도치 보다 쿨러 될 것입니다., 그리고 주입 공격 항상 오픈 웹 응용 프로그램 보안 프로젝트 (OWASP) 공격자 적극적으로 악용 하는 상위 10 개의 가장 일반적이고 위험한 취약점의 목록에서 상위 자리를 차지 합니다.

음, 태양은 내일 상승 할 것이다, 마리오는 여전히 소닉에 "원 업"을 가지고 있지만, 주입 공격은 악명 높은 OWASP 목록에 1 위 자리에서 떨어졌다, 에서 새로 고침 2021. 공격의 가장 오래된 형태 중 하나, 주입 취약점은 컴퓨터 네트워킹만큼 거의 주변되었습니다. 일괄 취약점은 기존의 SQL 주사부터 OGNL(개체 그래프 탐색 라이브러리)에 대해 시작된 악용에 이르기까지 광범위한 공격을 담당합니다. OS 명령 주입 기술을 사용하여 서버에 대한 직접 공격을 포함하기도 합니다. 잠재적으로 공격할 수 있는 장소의 수는 말할 것도 없고 공격자에 대한 사출 취약점의 다양성은 이 카테고리를 수년 동안 상위 권에 보관해 왔습니다.

그러나 주사 왕은 떨어졌다. 긴 왕을 살고. 

우리가 마침내 주입 취약점 문제를 해결했다는 것을 의미합니까? 안 돼. 그것은 보안 적 번호 1로 그것의 위치에서 멀리 떨어지지 않았다, 단지 OWASP 목록에 3 에 아래로. 그것은 주입 공격의 지속적인 위험을 과소 평가하는 실수 가 될 것입니다,하지만 다른 취약점 범주가 그것을 능가 할 수 있었다는 사실은 중요하다, 그것은 새로운 OWASP 최고 개가 실제로 얼마나 광범위 한 보여줍니다 때문에, 왜 개발자는 앞으로 이동에 주의를 기울여야.

그러나 가장 흥미로운 점은 OWASP Top 10 2021이 새로운 카테고리로 데뷔하는 중요한 정밀 검사를 반영한다는 것입니다: 안전하지 않은 디자인, 소프트웨어 및 데이터 무결성 오류, 커뮤니티 설문조사 결과: 서버 측 요청 위조. 이는 아키텍처 취약성에 대한 관심이 증가하고 소프트웨어 보안의 벤치마크를 위한 표면 수준 버그를 넘어서는 것을 가리킵니다.

깨진 액세스 컨트롤은 크라운을 차지합니다(추세를 밝힙니다)

OWASP 상위 10개 취약점 목록의 5위 자리에서 현재 1위까지 의 액세스 제어가 끊어졌습니다. 주입 및 안전하지 않은 디자인과 같은 새로운 항목과 마찬가지로 침입된 액세스 취약점은 광범위한 코딩 결함을 포괄하므로 여러 전선에서 손상을 줄 수 있기 때문에 모호한 인기를 추가합니다. 이 범주에는 사용자가 의도한 권한 밖에서 행동할 수 있도록 액세스 제어 정책을 위반할 수 있는 모든 인스턴스가 포함됩니다. 

OWASP가 취약점 패밀리를 상위 지점으로 승격시키는 데 인용한 액세스 제어가 깨진 예로는 공격자가 URL, 내부 응용 프로그램 상태 또는 HTML 페이지의 일부를 수정할 수 있는 액세스 권한이 포함됩니다. 또한 사용자가 기본 액세스 키를 변경하여 응용 프로그램, 사이트 또는 API가 권한이 높은 관리자와 같은 다른 사람이라고 생각하도록 허용할 수도 있습니다. 심지어 공격자가 메타데이터를 수정하지 못하도록 제한되지 않는 취약점을 포함하며 JSON 웹 토큰, 쿠키 또는 액세스 제어 토큰과 같은 항목을 변경할 수 있습니다.

악용되면 공격자가 파일 또는 개체 권한을 우회하거나 데이터를 도용하거나 데이터베이스 삭제와 같은 파괴적인 관리자 수준 기능을 수행하는 데 이 취약점 제품군을 사용할 수 있습니다. 이렇게 하면 액세스 제어가 점점 더 일반화되는 것 외에도 액세스 제어가 매우 위험합니다.

인증 및 액세스 제어 취약점이 공격자가 악용할 수 있는 가장 비옥한 근거가 되고 있다는 것은 그리 흥미롭습니다. Verizon의 최신 데이터 유출 조사 보고서에 따르면 액세스 제어 문제는 거의 모든 산업, 특히 IT 및 의료 분야에서 만연하고 있으며, 모든 위반의 무려 85%가 인간의 요소를 포함하고 있습니다. 이제 "인간 요소"는 엔지니어링 문제가 아닌 피싱 공격과 같은 사건을 다루지만 위반의 3 %는 악용 가능한 취약점을 포함했으며 보고서에 따르면 주로 오래된 취약점과 보안 오구성과 같은 인적 오류 주도였습니다.

XSS 및 SQL 주입과 같은 보안 버그가 개발자를 계속 방문하는 동안 핵심 보안 설계가 실패하고 있으며, 특히 특정 버전의 응용 프로그램의 보안 결함이 공개된 후 패치를 해제한 경우 위협 행위자에 매우 유리할 수 있는 아키텍처 취약점에 대한 방법을 제공합니다. 

문제는, 몇몇 엔지니어는 기본을 넘어 교육 및 기술 개발을 부여하고, 적은 여전히 진정으로 자신의 지식과 실용적인 응용 프로그램은 일반적으로 개발자가 처음에 도입 된 지역화, 코드 수준 버그를 넘어 확장하고 있다.

로봇이 거의 찾을 수 없는 버그 방지

새로 그룹화된 액세스 제어 취약점 제품군은 매우 다양합니다. 액세스 중단 컨트롤의 몇 가지 구체적인 예와 YouTube 채널블로그에서이를 중지하는 방법을 찾을 수 있습니다.

그러나, 나는이 새로운 OWASP 탑 10을 축하하는 것이 중요하다고 생각합니다. 실제로 스캐너가 반드시 픽업하지 않는 공격 벡터를 포함하는 더 넓은 범위의 공격 벡터를 포괄하는 것이 더 다양합니다. 발견 된 모든 코드 수준의 약점에 대해, 더 복잡한 건축 결함은 무기고에 얼마나 많은 자동 방패와 무기가 상관없이, 보안 기술 스택의 대부분에 의해 주목 갈 것이다. OWASP Top 10 목록의 사자 점유율은 여전히 스캔 데이터를 기반으로 컴파일되지만, 안전하지 않은 설계 및 데이터 무결성 오류를 다루는 새로운 항목은 개발자를 위한 교육 지평을 빠르게 확장하여 로봇이 할 수 없는 것을 달성해야 한다는 것을 보여줍니다.

간단히 말해서 보안 스캐너는 큰 위협 모델러를 만들지 는 않지만 보안 숙련 된 개발자 팀은 모범 사례와 비즈니스의 요구사항과 함께 보안 IQ를 인라인으로 성장시킴으로써 AppSec 팀을 헤아릴 수 없을 정도로 도울 수 있습니다. OWASP Top 10이 우수한 기준이지만 위협 환경이 너무 빠르게 진행되고 있다는 이해와 함께 좋은 보안 프로그램으로 고려해야하므로 개발자가 보안을 강화하면서 더 깊고 구체적으로 나아갈 계획이 있어야 합니다. 그렇게 하지 않으면 필연적으로 조기에 수정할 기회를 놓치고 인간이 주도하는 예방적 사이버 보안에 대한 성공적인 전체론적 접근 방식을 방해할 수 있습니다.

우리는 OWASP 탑 10 2021 준비, 그리고 그건 시작에 불과! 오늘 높은 보안 기술 경로에 개발자를 시작합니다.

리소스 보기
리소스 보기

저자

마티아스 마두, Ph.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

OWASP의 2021 목록 셔플 : 새로운 전투 계획과 기본 적

게시일: Oct 05, 2021
마티아스 마두, Ph.

이 점점 더 혼란 스러운 세계에서, 항상 사람들이 안정적으로 믿을 수 있는 몇 가지 상수가 있다: 태양 아침에 상승 하 고 밤에 다시 설정, 마리오 는 항상 소닉 고슴도치 보다 쿨러 될 것입니다., 그리고 주입 공격 항상 오픈 웹 응용 프로그램 보안 프로젝트 (OWASP) 공격자 적극적으로 악용 하는 상위 10 개의 가장 일반적이고 위험한 취약점의 목록에서 상위 자리를 차지 합니다.

음, 태양은 내일 상승 할 것이다, 마리오는 여전히 소닉에 "원 업"을 가지고 있지만, 주입 공격은 악명 높은 OWASP 목록에 1 위 자리에서 떨어졌다, 에서 새로 고침 2021. 공격의 가장 오래된 형태 중 하나, 주입 취약점은 컴퓨터 네트워킹만큼 거의 주변되었습니다. 일괄 취약점은 기존의 SQL 주사부터 OGNL(개체 그래프 탐색 라이브러리)에 대해 시작된 악용에 이르기까지 광범위한 공격을 담당합니다. OS 명령 주입 기술을 사용하여 서버에 대한 직접 공격을 포함하기도 합니다. 잠재적으로 공격할 수 있는 장소의 수는 말할 것도 없고 공격자에 대한 사출 취약점의 다양성은 이 카테고리를 수년 동안 상위 권에 보관해 왔습니다.

그러나 주사 왕은 떨어졌다. 긴 왕을 살고. 

우리가 마침내 주입 취약점 문제를 해결했다는 것을 의미합니까? 안 돼. 그것은 보안 적 번호 1로 그것의 위치에서 멀리 떨어지지 않았다, 단지 OWASP 목록에 3 에 아래로. 그것은 주입 공격의 지속적인 위험을 과소 평가하는 실수 가 될 것입니다,하지만 다른 취약점 범주가 그것을 능가 할 수 있었다는 사실은 중요하다, 그것은 새로운 OWASP 최고 개가 실제로 얼마나 광범위 한 보여줍니다 때문에, 왜 개발자는 앞으로 이동에 주의를 기울여야.

그러나 가장 흥미로운 점은 OWASP Top 10 2021이 새로운 카테고리로 데뷔하는 중요한 정밀 검사를 반영한다는 것입니다: 안전하지 않은 디자인, 소프트웨어 및 데이터 무결성 오류, 커뮤니티 설문조사 결과: 서버 측 요청 위조. 이는 아키텍처 취약성에 대한 관심이 증가하고 소프트웨어 보안의 벤치마크를 위한 표면 수준 버그를 넘어서는 것을 가리킵니다.

깨진 액세스 컨트롤은 크라운을 차지합니다(추세를 밝힙니다)

OWASP 상위 10개 취약점 목록의 5위 자리에서 현재 1위까지 의 액세스 제어가 끊어졌습니다. 주입 및 안전하지 않은 디자인과 같은 새로운 항목과 마찬가지로 침입된 액세스 취약점은 광범위한 코딩 결함을 포괄하므로 여러 전선에서 손상을 줄 수 있기 때문에 모호한 인기를 추가합니다. 이 범주에는 사용자가 의도한 권한 밖에서 행동할 수 있도록 액세스 제어 정책을 위반할 수 있는 모든 인스턴스가 포함됩니다. 

OWASP가 취약점 패밀리를 상위 지점으로 승격시키는 데 인용한 액세스 제어가 깨진 예로는 공격자가 URL, 내부 응용 프로그램 상태 또는 HTML 페이지의 일부를 수정할 수 있는 액세스 권한이 포함됩니다. 또한 사용자가 기본 액세스 키를 변경하여 응용 프로그램, 사이트 또는 API가 권한이 높은 관리자와 같은 다른 사람이라고 생각하도록 허용할 수도 있습니다. 심지어 공격자가 메타데이터를 수정하지 못하도록 제한되지 않는 취약점을 포함하며 JSON 웹 토큰, 쿠키 또는 액세스 제어 토큰과 같은 항목을 변경할 수 있습니다.

악용되면 공격자가 파일 또는 개체 권한을 우회하거나 데이터를 도용하거나 데이터베이스 삭제와 같은 파괴적인 관리자 수준 기능을 수행하는 데 이 취약점 제품군을 사용할 수 있습니다. 이렇게 하면 액세스 제어가 점점 더 일반화되는 것 외에도 액세스 제어가 매우 위험합니다.

인증 및 액세스 제어 취약점이 공격자가 악용할 수 있는 가장 비옥한 근거가 되고 있다는 것은 그리 흥미롭습니다. Verizon의 최신 데이터 유출 조사 보고서에 따르면 액세스 제어 문제는 거의 모든 산업, 특히 IT 및 의료 분야에서 만연하고 있으며, 모든 위반의 무려 85%가 인간의 요소를 포함하고 있습니다. 이제 "인간 요소"는 엔지니어링 문제가 아닌 피싱 공격과 같은 사건을 다루지만 위반의 3 %는 악용 가능한 취약점을 포함했으며 보고서에 따르면 주로 오래된 취약점과 보안 오구성과 같은 인적 오류 주도였습니다.

XSS 및 SQL 주입과 같은 보안 버그가 개발자를 계속 방문하는 동안 핵심 보안 설계가 실패하고 있으며, 특히 특정 버전의 응용 프로그램의 보안 결함이 공개된 후 패치를 해제한 경우 위협 행위자에 매우 유리할 수 있는 아키텍처 취약점에 대한 방법을 제공합니다. 

문제는, 몇몇 엔지니어는 기본을 넘어 교육 및 기술 개발을 부여하고, 적은 여전히 진정으로 자신의 지식과 실용적인 응용 프로그램은 일반적으로 개발자가 처음에 도입 된 지역화, 코드 수준 버그를 넘어 확장하고 있다.

로봇이 거의 찾을 수 없는 버그 방지

새로 그룹화된 액세스 제어 취약점 제품군은 매우 다양합니다. 액세스 중단 컨트롤의 몇 가지 구체적인 예와 YouTube 채널블로그에서이를 중지하는 방법을 찾을 수 있습니다.

그러나, 나는이 새로운 OWASP 탑 10을 축하하는 것이 중요하다고 생각합니다. 실제로 스캐너가 반드시 픽업하지 않는 공격 벡터를 포함하는 더 넓은 범위의 공격 벡터를 포괄하는 것이 더 다양합니다. 발견 된 모든 코드 수준의 약점에 대해, 더 복잡한 건축 결함은 무기고에 얼마나 많은 자동 방패와 무기가 상관없이, 보안 기술 스택의 대부분에 의해 주목 갈 것이다. OWASP Top 10 목록의 사자 점유율은 여전히 스캔 데이터를 기반으로 컴파일되지만, 안전하지 않은 설계 및 데이터 무결성 오류를 다루는 새로운 항목은 개발자를 위한 교육 지평을 빠르게 확장하여 로봇이 할 수 없는 것을 달성해야 한다는 것을 보여줍니다.

간단히 말해서 보안 스캐너는 큰 위협 모델러를 만들지 는 않지만 보안 숙련 된 개발자 팀은 모범 사례와 비즈니스의 요구사항과 함께 보안 IQ를 인라인으로 성장시킴으로써 AppSec 팀을 헤아릴 수 없을 정도로 도울 수 있습니다. OWASP Top 10이 우수한 기준이지만 위협 환경이 너무 빠르게 진행되고 있다는 이해와 함께 좋은 보안 프로그램으로 고려해야하므로 개발자가 보안을 강화하면서 더 깊고 구체적으로 나아갈 계획이 있어야 합니다. 그렇게 하지 않으면 필연적으로 조기에 수정할 기회를 놓치고 인간이 주도하는 예방적 사이버 보안에 대한 성공적인 전체론적 접근 방식을 방해할 수 있습니다.

우리는 OWASP 탑 10 2021 준비, 그리고 그건 시작에 불과! 오늘 높은 보안 기술 경로에 개발자를 시작합니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.