OWASP의 2021 리스트 셔플: 새로운 전투 계획이자 주요 적

점점 더 혼란스러운 이 세상에서 사람들이 믿고 의지할 수 있는 몇 가지 변함이 항상 존재해 왔습니다. 아침에는 해가 뜨고 밤에 다시 질 것이고, 마리오는 언제나 소닉 더 헤지호그보다 더 차갑고, 인젝션 공격은 오픈 웹 애플리케이션 보안 프로젝트 (OWASP) 목록에서 항상 상위권을 차지할 것입니다. 가장 흔한 상위 10위 공격자가 적극적으로 악용하는 위험한 취약성

음, 내일 해가 뜰 거고, 마리오는 여전히 소닉에서 “원 업 (one-up)" 을 하고 있지만, 2021년에 갱신된 악명 높은 OWASP 목록에서 인젝션 어택은 1위 자리를 벗어났습니다.가장 오래된 형태의 공격 중 하나인데 주사 취약점 컴퓨터 네트워킹만큼이나 오래 전부터 존재해 왔습니다.포괄적인 취약점은 기존 공격의 모든 것을 포함하여 광범위한 공격의 원인이 됩니다. SQL 인젝션 객체 그래프 탐색 라이브러리 (OGNL) 에 대해 시작된 익스플로잇에 대해심지어 를 사용하여 서버를 직접 공격하는 것도 포함됩니다. OS 커맨드 인젝션 기법.공격 가능성이 있는 장소의 수는 말할 것도 없고, 공격자가 다양한 인젝션 취약점을 이용할 수 있다는 점 때문에 이 범주는 수년 동안 최고의 자리를 지켰습니다.

하지만 인젝션 킹은 쓰러졌습니다.왕 만세.

인젝션 취약점 문제를 마침내 해결했다는 뜻인가요?기회는 아니야.보안 적 1위라는 지위에는 크게 뒤쳐지지 않았고, OWASP 목록에서 3위까지만 내려갔습니다.인젝션 공격의 지속적인 위험성을 과소평가하는 것은 실수이겠지만, 또 다른 취약점 범주가 이를 능가할 수 있었다는 사실은 의미가 있습니다. 새로운 OWASP 최상위 도그가 실제로 얼마나 널리 퍼져 있고 개발자들이 앞으로 이 문제에 주의를 기울여야 하는지를 보여주기 때문입니다.

하지만 아마도 가장 흥미로운 점은 OWASP Top 10 2021에 대대적인 개편이 반영되어 있다는 점일 것입니다. 안전하지 않은 설계, 소프트웨어 및 데이터 무결성 실패, 커뮤니티 설문조사 결과를 기반으로 한 항목인 서버 측 요청 위조 등이 있습니다.이로 인해 아키텍처 취약성에 대한 관심이 높아지고 있으며 표면적 버그를 넘어 소프트웨어 보안의 벤치마크 대상으로 삼고 있습니다.

깨진 액세스 제어가 왕좌를 차지하다 (추세를 드러낸다)

깨진 액세스 제어는 OWASP 10대 취약점 목록에서 5위를 차지했던 것이 현재 1위까지 치솟았습니다.Injection 취약점이나 안전하지 않은 디자인과 같은 새로운 항목과 마찬가지로, 이 취약점은 광범위한 코딩 결함을 포함하고 있는데, 이 취약점은 집합적으로 여러 측면에서 손상을 허용한다는 점에서 그 인기가 더욱 높아지고 있습니다.이 범주에는 사용자가 의도한 권한을 벗어난 행동을 할 수 있도록 액세스 제어 정책을 위반할 수 있는 모든 인스턴스가 포함됩니다.

OWASP가 취약성 제품군을 최상위 지점으로 끌어올리면서 인용한 깨진 액세스 제어의 예로는 공격자가 URL, 내부 애플리케이션 상태 또는 HTML 페이지의 일부를 수정할 수 있게 하는 경우가 있습니다.또한 사용자가 기본 액세스 키를 변경하여 애플리케이션, 사이트 또는 API가 자신이 다른 사람 (예: 상위 권한을 가진 관리자) 인 것으로 인식하도록 허용할 수도 있습니다.심지어 공격자가 메타데이터를 수정하지 못하도록 제한되지 않아 JSON 웹 토큰, 쿠키 또는 액세스 제어 토큰과 같은 항목을 변경할 수 있는 취약성도 포함되어 있습니다.

공격자는 일단 악용되면 이 취약성 계열의 취약점을 사용하여 다음과 같은 작업을 수행할 수 있습니다. 파일 또는 객체 우회 권한 부여를 통해 데이터를 도용하거나 데이터베이스 삭제와 같은 파괴적인 관리자 수준의 기능을 수행할 수 있습니다.이로 인해 액세스 제어가 중단되는 것은 매우 위험할 뿐만 아니라 점점 더 흔해지고 있습니다.

인증 및 액세스 제어 취약점이 공격자가 악용할 수 있는 가장 빈번한 기반이 되고 있다는 사실은 매우 매력적이지만 놀라운 일은 아닙니다.Verizon의 최신 소식 데이터 침해 조사 보고서 액세스 제어 문제는 거의 모든 산업, 특히 IT 및 의료 분야에서 널리 퍼져 있으며 전체 보안 침해 중 무려 85% 가 인적 요소와 관련된 것으로 나타났습니다.현재 “인적 요소”에는 피싱 공격과 같은 사고가 포함되는데, 이는 엔지니어링상의 문제는 아니지만 침해 중 3% 가 악용 가능한 취약점과 관련된 것이었으며, 보고서에 따르면 보안 구성 오류와 같이 주로 오래된 취약점과 인적 오류로 인한 것이었습니다.

XSS 및 SQL 인젝션과 같은 노후한 보안 버그가 계속해서 개발자의 마음을 사로잡는 가운데, 핵심 보안 설계가 실패하여 위협 행위자에게 매우 유리할 수 있는 아키텍처 취약점에 자리를 내주고 있다는 것이 분명해졌습니다. 특히 특정 애플리케이션 버전의 보안 결함이 공개된 후 패치를 적용하지 않는 경우 더욱 그렇습니다.

문제는 기본을 넘어서는 교육과 기술 개발을 받는 엔지니어가 거의 없으며, 애초에 일반적으로 개발자가 도입한 현지화된 코드 수준의 버그를 넘어서서 지식과 실제 적용을 진정으로 확장하는 엔지니어는 여전히 적다는 것입니다.

로봇이 거의 발견하지 못하는 버그 방지

새로 그룹화된 취약점 취약성 패밀리는 상당히 다양합니다.깨진 액세스 제어의 몇 가지 구체적인 예와 이를 방지하는 방법을 확인할 수 있습니다. 우리의 유튜브 채널 그리고 우리 블로그.

하지만 저는 이 새로운 OWASP Top 10을 기념하는 것이 중요하다고 생각합니다. 스캐너가 반드시 포착할 수 없는 공격 벡터를 포함하는 더 광범위한 공격 벡터를 포함하여 실제로 더 다양합니다.코드 수준의 약점이 발견될 때마다 아무리 자동화된 방패와 무기가 있더라도 대부분의 보안 기술 스택은 더 복잡한 구조적 결함을 알아차리지 못할 것입니다.OWASP Top 10 목록에서 가장 큰 비중을 차지하는 것은 여전히 스캐닝 데이터를 기반으로 작성되지만, 안전하지 않은 설계와 데이터 무결성 실패 등을 다루는 새로운 항목은 로봇이 할 수 없는 것을 달성하기 위해 개발자의 교육 범위를 빠르게 확장해야 한다는 것을 보여줍니다.

간단히 말해서 보안 스캐너는 훌륭한 위협 모델러가 되지는 않지만 보안 기술을 갖춘 개발자 팀은 모범 사례와 비즈니스 요구 사항에 따라 보안 IQ를 높여 AppSec 팀을 헤아릴 수 없을 정도로 도울 수 있습니다.OWASP Top 10은 훌륭한 기준이지만 위협 환경이 너무 빠르게 변화하기 때문에 (내부 개발 목표의 요구는 말할 것도 없고) 보안에 대한 개발자 기술 향상을 위해 더 심층적이고 구체적인 계획을 세워야 한다는 점을 염두에 두고 이를 훌륭한 보안 프로그램에 반영해야 합니다.그렇게 하지 않으면 필연적으로 조기 치료 기회를 놓치게 되며 예방적이고 인간 주도의 사이버 보안에 대한 성공적인 총체적 접근이 저해될 수밖에 없습니다.

‍

우리는 2021년 OWASP 톱 10을 준비했습니다. 이는 시작에 불과합니다!개발자를 지금 바로 시작하세요 고급 보안 기술 경로 오늘.