OWASP Top 10 - 2017 어떤 것이 변경 되었나 ?

-
2007년 이 후 3년마다 개정되던 OWASP Top 10이였는데
이번에는 4년만에 개정(예정) 발표되었네요.

 아직 릴리즈 버전이라 그런지 능력자분들께서 따로 해설을 내놓지 않은 상황이라 대충 정리해 봤습니다.
(틀린 부분은 마구마구 댓글로 비난해주세요)
욕을 먹다보면 더 완벽한 버전으로 정리가 될거같네요. :-)

개요

개인적으로 아쉬운점으로는 2013버전에서 리다이렉트 항목이 제외된 것이 아쉽네요.
(어플리케이션 QA, 보안진단 등을 할때 정 할거 없으면 리다이렉트라도 건들면......)


A4 취약한 접근 제어

기존의 항목을 통합한 내용으로 별혼동은 안될 것 같습니다.
예시가 정확한 것인지는 모르겠는데 아마 맞을겁니다. ㅎㅎ


A7 공격 방어 취약점

해당 항목은 이전에는 관리적 보안 쪽으로 분류되었지 않았나 싶네요..?
그러나 일부 기관에서 예전부터 점검항목에 포함시킨 내용으로 계정잠금 임계값 설정이 존재하긴 했습니다. 

해당 항목의 개발 단조치 (소스코드 예제) 및 서버 설정 (쉘스크립트,파이썬 스크립트 예제)는 고기먹고 힘났을 때 다음 포스팅으로 작성해서 올리겠습니다. (이번 주말쯤)



A10 취약한 API

이 항목은 정말 잘 넣은 것 같습니다.
실제 피해사례가 적다고 하더라도 상징적으로 존재해야된다고 생각했던 항목입니다.

보통 취약점이 발견되어 
보안노예 : "당신 시스템에서 사용하는 @@@API 취약합니다"
   ???     :  "@@@는 내 시스템 아님 "
               "그리고 이런 항목은 OWASP에 없잖아? 근데 왜 내가 고침 ?"
이런식의 시나리오가 발생하는 경우가 존재 합니다.



처음 블로그를 운영해보게되어 내용이 잘 전달되었는지 모르겠네요..
틀린부분 많이 지적 부탁드립니다 :-) 
웃는얼굴에 욕은 안하겠지:-) :-) :-) :-) :-) :-) :-) :-) :-) :-) :-) :-) :-) 



앞으로는 
보안내용 공유와 제가 직접 개발해서 쓰는 스크립트, 툴 등을 정보노출에 문제되지 않는 선에서 포스팅하고자합니다.

+ 아직 공부가 많이 필요한 젊은이라 혼자 정리하는 내용도 막 올림니다.

댓글

댓글 쓰기

이 블로그의 인기 게시물

파이썬 코드 윈도우 WPF(C#) UI로 배포(exe파일)

-
이미지
인터넷에 파이썬을 검색하면 항상 같이 나오는 것이 웹 크롤러가 나온다 개인적으로 개발언어라는건 용도에 따라 자유롭게 사용해야된다고 생각하는데 크롤링같은 웹 패킷 제어는 파이썬이 가장 적합하다고 생각된다. 라이브러리가 너무 압도적으로 편하기 때문에.. 다른 언어로 크롤링스크립트를 만든다는건 생각만 해도 끔직하다. 그런데 이런 기능의 툴을 배포하자니 너무 곤욕스러운데 IronPython으로 해답을 어느정도 찾은것 같다. """물론 내가 C#스킬이 부족해서 허접한 코딩조각이 있을 수 있으니 댓글로 수정""" 순서 1. 파이선 코드 C#에서 실행 2. 파이썬 pip로 설치한 라이브러리 C#에서 import (MultipartPostHandler, urllib2, cookielib 등) 1. 파이썬 코드 C#으로 실행 시키기 (1)솔루션 우클릭 -> NuGet패키지 관리 -> 찾아보기 -> IronPython 검색 -> 설치 [IronPython 패키지 다운로드] (2)파이썬 프로젝트를 생성해서 간단한 코드를 테스트 해보자 이처럼 파이썬 프로젝트를 생성하면 솔루션 탐색기에 [Python환경]탭이 생기는데(아래) 이걸 클릭하면 PC에 설치된 파이썬버전을 선택하고 환경을 좀 바꿀 수 있다. 기존에 사용하던 파이썬 코드가 2.7버전이라 난 2.7버전을 기본 환경으로 설정하고, 간단한 함수를 작성해보겠다. (3)C#환경에서 파이썬 함수 호출하기 테스트용 py소스 def test(id,pw): print id print pw c#에서 파이썬 파일 호출 //ironpython 모듈 using IronPython; using IronPython.Hosting; using IronPython.Runtime; using IronPython.Modules; ...namespace
자세한 내용 보기

[WPF] 텍스트 에디터 - AvalonEdit 사용/제어

-
이미지
/* * 그냥 일반 회사원이 정리하는 프로그래밍 */ WPF를 이용해서 소스코드 에디터와 유사하게 만들고 싶은데 일반적인 TextBox를 이용하게 되면 하나 하나 이벤트를 걸어줘서 손좀 많이 봐줘야한다. 울면서 작업하던중 스택오버플로에서 AvalonEdit이라는 패키지를 써봐라라는 글을 보고 바로 실행 정말 편하다. I. AvalonEdit 설치 및 기본 사용법 1. wpf 기본 도구가 아니기 때문에 NuGet에서 패키지 다운로드를 하자 2. 참조 선언 MainWindow.xaml  xmlns:avalonedit="http://icsharpcode.net/sharpdevelop/avalonedit" <-- 추가 MainWindow.xaml.cs using ICSharpCode.AvalonEdit.CodeCompletion; using ICSharpCode.AvalonEdit.Folding; using ICSharpCode.AvalonEdit.Highlighting; using ICSharpCode.AvalonEdit;    <-- 추가 3. WPF Grid안에 삽입 실제 VC 화면 해당 코드 실행 화면 아주 간단한 방법으로 메모장보다는 훨씬 보기 좋은 소스코드 에디터가 생성됬다. II. AvalonEdit 제어 #솔직히 다른 제어는 그냥 배포사이트가서 보면 뭐 색갈 바꾸기 뭐 이벤트 추가하기(뭐 .을 입력하면 미리 준비한 함수명 입력한다던가) 다 쉽게 설명되어있다 난 그중에서 정말 어려웠던 구현 중 1개가 바로 특정 라인에 이동 및 해당 라인 강조  이게 정말 어려웠다. 사실 코드만 보면 저것도 못해? 라
자세한 내용 보기

(아이온 매크로)아이온 일반 키보드로 H/W스왑 매크로

-
이미지
#아이온 매크로 #아이온 스왑 매크로   안녕하세요. 키보드로 장비 스왑 매크로하고 싶은데 10만원이상하는 고가의 키보드를 사는건 부담스러워서  대충 일반 키보드도 가능한 H/W매크로 제작해봣습니다. (아무래도 추가 버튼이 없어서 사용에 제한적입니다) 전자서명 비용은 결제하지 않아서 윈도우에서 악성프로그램으로 인식될 수 있으나 무시하시고 사용하면 작동하는데 크게 문제되진 않을꺼에요 사용법 및 다운로드 공유드립니다. 1시간 정도 끄적인거라 잘 안되실수도 있고... 기능이 제가 사용하는 용도를 기준으로만 해서 키설정이 좀 불편하실수 있습니다. 오류 발견 또는 기능 추가 제안 주시면 시간날 때 반영을 해보겠습니다. 다운로드 링크 :  https://drive.google.com/file/d/1eqSsQpLW1MPd2myiWTWNh4DBcgQWX_nI/view?usp=sharing 사용법  1. 아이온 세팅 1.1. 아이온 단축키 세팅 그림과 같이 퀵바 단축키를 변경해주세요 1번 줄 = 7번 줄 f9 8번 줄 f10 9번 줄 f11 0번 줄 f12 1.2. 큌바 슬롯 장비 세팅 각 7890 슬롯 에 첫번째 줄 (1,2,3,4,5,6,7,8,9,0 키보드 버튼)에 스왑 할 장비를 놓아주 세요 1~0 버튼을 순서대로 싹 누르고 다시 1슬롯 돌아가는 방법입니다 (쌍수무기는 잘안되는데 전곤 방패는 잘되네요 + 요리 잘됨 왠만하면 방어구만 사용하시길 ...) 2. 매크로 다운로드 2.1. 다운로드 받은 프로그램 압축을 풀어주세요 2. 2. 관리자 권한으로 실행 2.3. 윈도우 경고 (인증서 추가 안해서 발생 함) 다음의 순서대로 클릭하여 무시하고 실행 추가정보 클릭 > 실행 해당 순서로 진행하신 경우 정상적으로 허접한 창하나 떠있을꺼에요 2.4. Del/End/Ins/Home 버튼을 클릭하여 장비 스왑 사용 해당 창이 실행되었면 준비는 끝입니다. 이제 키보드 화살표키 위에 있는 버튼 6개중 4개는 장비스왑 버튼으로 사용가능합니다. 요약  1. 다운받은거 관리자 권한을 실
자세한 내용 보기