세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
OWASP Top 10 2017 RC2 발표...새로 선정된 보안 취약점 3가지는?
  |  입력 : 2017-10-21 23:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
새로 공개된 OWASP Top 10 2017 RC2 버전...RC1에서 어떤 항목 바뀌었나

[보안뉴스 김경애 기자] 비영리재단인 OWASP가 ‘OWASP(The Open Web Application Security Project) TOP10 2017 RC2’를 발표했다.

[이미지=OWASP Top 10 2017 발표 캡처 화면]


이번에 발표된 RC(Release Candidate) 2는 지난 9월 공개된 ‘OWASP TOP10 2017 RC1’의 다음 단계이자 최종 정식버전의 바로 전 단계로 피드백을 받기 위해 미리 공개하는 버전이다.

이는 내부 저자들이 1차적으로 RC1을 작성하고, 수많은 외부 전문가들의 여러 검증을 거치며 최종 정식버전까지 발전시켜 나가기 위해서 진행된다고 볼 수 있다. 무엇보다 보안위협에 대해 보다 전문적이고 신뢰성 있는 정보를 취합함으로써 보안위협 해소에 기여하기 위해 진행되는 것이다.

RC2에서 새롭게 선정된 보안 취약점은 △A4. XML External Entity △A8. Insecure Deserialization △A10. Insufficient Logging & Monitoring 3가지 항목이다. 반면, RC1에서 발표됐던 △A7. Insufficient Attack Protection △A8. CSRF△A10. Underprotected APIs 항목은 제외됐다.

A4. External Entity(XXE)
XXE는 악의적인 자바스크립트를 막기 위한 필터장치를 우회하는 취약점이다. XML 문서에서 동적으로 외부 URI의 리소스를 포함시킬 수 있는 외부 엔티티(Entity)를 사용할 때 발생한다. 외부 엔티티는 파일 URL 처리기, 패치되지 않은 Windows 서버의 내부 SMB 파일 공유, 내부 포트 검색, 원격 코드 실행 및 Billion Laughs 공격과 같은 서비스 거부 공격과 내부파일 공개에 악용될 수 있다.

A8. 안전하지 않은 역직렬화 취약점(Insecure Deserialization)
이 취약점은 응용 프로그램이 악의적인 직렬화된 객체를 받았을 때 불안정한 직렬화 오류가 발생한다. 안전하지 않은 직렬화로 인해 원격코드가 실행된다. 공격자에 의해 직렬화된 개체가 재생, 변조, 삭제, 삽입, 공격자 권한 상승 등의 문제가 발생될 수 있다.

A10. 불충분한 로깅 및 모니터링(Insufficient Logging & Monitoring)
이 취약점은 불충분한 로깅 및 모니터링과 사고 대응과의 통합이 누락되거나 비효율적인 경우 공격자에 의해 시스템 공격으로 이어지거나 데이터 변조와 추출, 심지어 파괴될 수 있는 취약점이다.

시큐리티플러스의 박형근 대표는 “아직 최종본을 좀더 기다려봐야 하겠지만, RC1에 비해 RC2는 전세계 많은 보안 전문가들이 웹 어플리케이션 취약점에 대해 보다 정확한 현재 상황을 통찰해 제시하기 위한 결과물”이라며 “향후 웹 어플리케이션 보안에 있어 XML상의 외부 객체 활용과 객체 직렬화를 사용하는 분산 서비스 환경에서 취약점 악용 사례 증가와 웹 어플리케이션에 대한 취약한 로깅과 모니터링, 그리고 사고 대응 체계 내에서의 고려에 대한 언급은 시사하는 바가 매우 크다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)