Home > Security
OWASP Top 10 2017 RC2 발표...새로 선정된 보안 취약점 3가지는?
  |  입력 : 2017-10-21 23:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
새로 공개된 OWASP Top 10 2017 RC2 버전...RC1에서 어떤 항목 바뀌었나

[보안뉴스 김경애 기자] 비영리재단인 OWASP가 ‘OWASP(The Open Web Application Security Project) TOP10 2017 RC2’를 발표했다.

[이미지=OWASP Top 10 2017 발표 캡처 화면]


이번에 발표된 RC(Release Candidate) 2는 지난 9월 공개된 ‘OWASP TOP10 2017 RC1’의 다음 단계이자 최종 정식버전의 바로 전 단계로 피드백을 받기 위해 미리 공개하는 버전이다.

이는 내부 저자들이 1차적으로 RC1을 작성하고, 수많은 외부 전문가들의 여러 검증을 거치며 최종 정식버전까지 발전시켜 나가기 위해서 진행된다고 볼 수 있다. 무엇보다 보안위협에 대해 보다 전문적이고 신뢰성 있는 정보를 취합함으로써 보안위협 해소에 기여하기 위해 진행되는 것이다.

RC2에서 새롭게 선정된 보안 취약점은 △A4. XML External Entity △A8. Insecure Deserialization △A10. Insufficient Logging & Monitoring 3가지 항목이다. 반면, RC1에서 발표됐던 △A7. Insufficient Attack Protection △A8. CSRF△A10. Underprotected APIs 항목은 제외됐다.

A4. External Entity(XXE)
XXE는 악의적인 자바스크립트를 막기 위한 필터장치를 우회하는 취약점이다. XML 문서에서 동적으로 외부 URI의 리소스를 포함시킬 수 있는 외부 엔티티(Entity)를 사용할 때 발생한다. 외부 엔티티는 파일 URL 처리기, 패치되지 않은 Windows 서버의 내부 SMB 파일 공유, 내부 포트 검색, 원격 코드 실행 및 Billion Laughs 공격과 같은 서비스 거부 공격과 내부파일 공개에 악용될 수 있다.

A8. 안전하지 않은 역직렬화 취약점(Insecure Deserialization)
이 취약점은 응용 프로그램이 악의적인 직렬화된 객체를 받았을 때 불안정한 직렬화 오류가 발생한다. 안전하지 않은 직렬화로 인해 원격코드가 실행된다. 공격자에 의해 직렬화된 개체가 재생, 변조, 삭제, 삽입, 공격자 권한 상승 등의 문제가 발생될 수 있다.

A10. 불충분한 로깅 및 모니터링(Insufficient Logging & Monitoring)
이 취약점은 불충분한 로깅 및 모니터링과 사고 대응과의 통합이 누락되거나 비효율적인 경우 공격자에 의해 시스템 공격으로 이어지거나 데이터 변조와 추출, 심지어 파괴될 수 있는 취약점이다.

시큐리티플러스의 박형근 대표는 “아직 최종본을 좀더 기다려봐야 하겠지만, RC1에 비해 RC2는 전세계 많은 보안 전문가들이 웹 어플리케이션 취약점에 대해 보다 정확한 현재 상황을 통찰해 제시하기 위한 결과물”이라며 “향후 웹 어플리케이션 보안에 있어 XML상의 외부 객체 활용과 객체 직렬화를 사용하는 분산 서비스 환경에서 취약점 악용 사례 증가와 웹 어플리케이션에 대한 취약한 로깅과 모니터링, 그리고 사고 대응 체계 내에서의 고려에 대한 언급은 시사하는 바가 매우 크다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
6월 25~26일 열리는 국내 최대 규모 개인정보보호 축제 ‘2019 개인정보보호 페어’에서 가장 중점적으로 논의되어야 할 이슈는 무엇이라고 보시나요?
개인정보 손해배상책임보험(사이버 보험) 의무화
개인정보처리시스템 접속기록 보관기간 확대 등 개인정보의 안전성 확보조치 기준 개정
개인영상정보의 보호 또는 활용 위한 법제도 마련
클라우드 환경 확대에 따른 개인정보보호 이슈
이미지속 개인정보 유출 위험과 대응방안
개인정보보호 관련 한-EU 적정성 평가 논의
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
IR PTZ 카메라

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

보쉬시큐리티시스템즈
CCTV / 영상보안

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

비전정보통신
IP카메라 / VMS / 폴

디비시스
CCTV토탈솔루션

엔토스정보통신
DVR / NVR / CCTV

에스카
CCTV / 영상개선

씨오피코리아
CCTV 영상 전송장비

구네보코리아
보안게이트

두현
DVR / CCTV / IP

옵티언스
IR 투광기

KPN
안티버그 카메라

지와이네트웍스
CCTV 영상분석

티에스아이솔루션
출입 통제 솔루션

디케이솔루션
메트릭스 / 망전송시스템

옵텍스코리아
실내 실외 센서

CCTV프랜즈
CCTV

엘세븐시큐리티
정보보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

씨아이즈
IP 카메라 / 비디오 컨트롤

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

엘림광통신
광전송링크

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

금성보안
CCTV / 출입통제 / NVR

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

퍼시픽솔루션
IP 카메라 / DVR

지에스티엔지니어링
게이트 / 스피드게이트

진명아이앤씨
CCTV / 카메라

유시스
CCTV 장애관리 POE

수퍼락
출입통제 시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향