웹 보안 / OWASP Top 10

웹 보안 / OWASP Top 10

OWASP에서 발표하는 웹 애플리케이션의 10대 보안 위험 목록 (3~4년 주기)

특징: 데이터 기반 선정, 개발자/보안팀 필수 지식

2021 Top 10

• •A01 Broken Access Control: IDOR/권한 상승, 서버측 접근제어 강제
• •A02 Cryptographic Failures: 평문 전송/저장/취약 알고리즘, TLS 1.2+/AES-256
• •A03 Injection: SQL/XSS/OS Command, Prepared Statement/입력 검증
• •A04 Insecure Design [신규]: 설계 단계 보안 누락, 위협 모델링(STRIDE)
• •A05 Security Misconfiguration: 기본 설정/에러 노출, 보안 하드닝
• •A06 Vulnerable Components: Log4Shell 등, SCA/SBOM/정기 패치
• •A07 Authentication Failures: 약한 비밀번호/Credential Stuffing, MFA 필수
• •A08 Integrity Failures [신규]: CI/CD 변조/역직렬화, 코드 서명 검증
• •A09 Logging Failures: 로깅 부재/모니터링 미흡, SIEM 구축
• •A10 SSRF [신규]: 서버가 내부 자원 요청 유도, URL 화이트리스트/IMDSv2

기술요소: 입력 검증(Whitelist), 출력 인코딩, WAF, 시큐어 코딩, CSP

비교: OWASP Top 10(웹/위험 중심) vs SANS Top 25(SW 전반/CWE) vs CWE(취약점 분류)

연관: SQL Injection, XSS, CSRF, WAF, 시큐어 코딩