토픽 234 / 234·비교표
애플리케이션 보안
OWASP Top 10 vs SANS Top 25 vs CWE
| 항목 | OWASP Top 10 | SANS Top 25 | CWE |
|---|
| 정의 | 웹 10대 보안 위험 | SW 25대 취약점 유형 | 취약점 분류 체계 |
| 범위 | 웹 애플리케이션 | 소프트웨어 전반 | 모든 소프트웨어 |
| 성격 | 위험 중심(인식용) | CWE 기반 우선순위 | 분류 체계(사전) |
| 적용 | 웹 보안 교육/점검 | 시큐어 코딩 | 취약점 분류·참조 |
SQL Injection 유형 비교
| 항목 | Error-based | Union-based | Blind Boolean | Blind Time-based |
|---|
| 데이터 추출 | 에러 메시지 | 직접 조회 | 참/거짓 추론 | 시간 지연 추론 |
| 속도 | 빠름 | 빠름 | 느림 | 매우 느림 |
| 에러 필요 | O | X | X | X |
| 탐지 난이도 | 쉬움 | 중간 | 어려움 | 어려움 |
| 자동화 | 쉬움 | 쉬움 | 필수(sqlmap) | 필수(sqlmap) |
1차 SQLi vs 2차 SQLi vs 블라인드 SQLi
| 항목 | 1차 SQLi | 2차 SQLi | 블라인드 SQLi |
|---|
| 정의 | 직접 주입·즉시 실행 | DB 저장 후 나중에 실행 | 응답 차이로 데이터 추론 |
| 실행 시점 | 즉시 | 지연(다른 쿼리에서) | 즉시(추론 필요) |
| 방어 | Prepared Statement | 저장값 재사용 시 주의 | Prepared Statement |
| 난이도 | 낮음 | 높음 | 중간~높음 |
Stored XSS vs Reflected XSS vs DOM-based XSS
| 구분 | Stored XSS | Reflected XSS | DOM-based XSS |
|---|
| 저장 위치 | 서버 DB | URL 파라미터 | 클라이언트 DOM |
| 지속성 | 지속적(영구) | 일회성 | 일회성 |
| 서버 경유 | O | O | X |
| 트리거 | 페이지 방문 | 링크 클릭 | 페이지 방문+DOM 조작 |
| 영향 범위 | 모든 방문자 | 링크 클릭자 | DOM 조작 대상 |
| WAF 탐지 | 가능 | 가능 | 어려움 |
| 위험도 | 가장 높음 | 높음 | 높음 |
WAF vs API Gateway vs ASPM
| 구분 | WAF | API Gateway | ASPM |
|---|
| 범위 | 웹 트래픽 필터링 | 인증/라우팅/제한 | 전체 API 보안 태세 |
| 초점 | 알려진 공격 차단 | 접근 관리 | 취약점/Shadow API 발견 |
| 가시성 | 트래픽 레벨 | 게이트웨이 경유 API | 전체 API 인벤토리 |