OWASP Top 10 - 2017 어떤 것이 변경 되었나 ?

2007년 이 후 3년마다 개정되던 OWASP Top 10이였는데
이번에는 4년만에 개정(예정) 발표되었네요.

아직 릴리즈 버전이라 그런지 능력자분들께서 따로 해설을 내놓지 않은 상황이라 대충 정리해 봤습니다.
(틀린 부분은 마구마구 댓글로 비난해주세요)
욕을 먹다보면 더 완벽한 버전으로 정리가 될거같네요. :-)

개요

개인적으로 아쉬운점으로는 2013버전에서 리다이렉트 항목이 제외된 것이 아쉽네요.
(어플리케이션 QA, 보안진단 등을 할때 정 할거 없으면 리다이렉트라도 건들면......)


A4 취약한 접근 제어

기존의 항목을 통합한 내용으로 별혼동은 안될 것 같습니다.
예시가 정확한 것인지는 모르겠는데 아마 맞을겁니다. ㅎㅎ


A7 공격 방어 취약점

해당 항목은 이전에는 관리적 보안 쪽으로 분류되었지 않았나 싶네요..?
그러나 일부 기관에서 예전부터 점검항목에 포함시킨 내용으로 계정잠금 임계값 설정이 존재하긴 했습니다. 

해당 항목의 개발 단조치 (소스코드 예제) 및 서버 설정 (쉘스크립트,파이썬 스크립트 예제)는 고기먹고 힘났을 때 다음 포스팅으로 작성해서 올리겠습니다. (이번 주말쯤)



A10 취약한 API

이 항목은 정말 잘 넣은 것 같습니다.
실제 피해사례가 적다고 하더라도 상징적으로 존재해야된다고 생각했던 항목입니다.

보통 취약점이 발견되어 
보안노예 : "당신 시스템에서 사용하는 @@@API 취약합니다"
   ???     :  "@@@는 내 시스템 아님 "
               "그리고 이런 항목은 OWASP에 없잖아? 근데 왜 내가 고침 ?"
이런식의 시나리오가 발생하는 경우가 존재 합니다.



처음 블로그를 운영해보게되어 내용이 잘 전달되었는지 모르겠네요..
틀린부분 많이 지적 부탁드립니다 :-) 
웃는얼굴에 욕은 안하겠지:-) :-) :-) :-) :-) :-) :-) :-) :-) :-) :-) :-) :-) 



앞으로는 
보안내용 공유와 제가 직접 개발해서 쓰는 스크립트, 툴 등을 정보노출에 문제되지 않는 선에서 포스팅하고자합니다.

+ 아직 공부가 많이 필요한 젊은이라 혼자 정리하는 내용도 막 올림니다.

댓글

이 블로그의 인기 게시물

파이썬 코드 윈도우 WPF(C#) UI로 배포(exe파일)

[WPF] 텍스트 에디터 - AvalonEdit 사용/제어

(아이온 매크로)아이온 일반 키보드로 H/W스왑 매크로