OWASP (Open Web Application Security Project)
: 웹 어플리케이션의 취약점 연구하는 비영리 재단
-> 고위험 취약점의 공격 가능성, 영향도 등 기준으로 순위 정해서 상위 10개의 취약점 발표
OWASP Top 10: 2025
A01:2025 — Broken Access Control (잘못된 접근 제어)
권한 검증의 부재 or 잘못된 접근 제어로 인해 공격자가 승인되지 않은 자원에 접근하거나 기능 수행할 수 있는 취약점
예: Insecure Direct Object References (IDOR), 권한 상승 등의 문제
A02:2025 — Security Misconfiguration (잘못된 설정 구성)
기본 설정값 노출, 불필요한 서비스 오픈, 잘못된 보안 설정 등 환경구성 오류 주 원인
예: http 응답 헤더 누락, 디버그 모드 활성화 등
A03:2025 — Software Supply Chain Failures (SW 공급망 실패) → (신규)
의존 라이브러리, 패키지 레지스트리, CI/CD 파이프라인과 같은 소프트웨어 공급망 전체의 취약성 포함
과거의 “취약하고 오래된 구성요소 (Vulnerable and Outdated Components)” 확장
A04:2025 — Cryptographic Failures (암호학 실패)
암호화 또는 보안 프로토콜을 잘못 구현하거나 사용하여 민감한 데이터를 유출·위험에 노출시키는 경우
예: 약한 암호 알고리즘, 키 누락, 불충분한 암호화
A05:2025 — Injection (주입)
입력값 검증 실패로 인해 SQL, OS 명령, 템플릿 등 구문 문맥으로 악의적인 데이터(data) 삽입하는 취약점
예: SQL Injection, OS 커맨드 인젝션, XSS 등이 포함
A06:2025 — Insecure Design (안전하지 못한 설계)
초기 설계 단계에서 위험 요소를 고려하지 않아 전체적인 보안 설계 수준이 낮은 경우의 취약점
위협 모델링의 부재, 비안전적인 아키텍처 등
A07:2025 — Authentication Failures (인증 실패)
인증 및 세션 처리 문제로 인해 공격자가 시스템에 무단 접근할 수 있는 취약점
약한 비밀번호 정책, 세션 하이재킹
A08:2025 — Software or Data Integrity Failures (SW or 데이터 무결성 실패)
업데이트 메커니즘, 코드 또는 데이터를 검증 없이 실행하거나 신뢰하지 못하는 상태로 처리할 때 발생
서명 검증 누락, 부적절한 업데이트
A09:2025 — Security Logging & Alerting Failures (보호 로깅 & 알림 실패)
단순한 로깅 실패뿐 아니라 알림 기능까지 포함하여 공격 탐지 및 대응을 어렵게 만드는 보안 가시성 취약점
A10:2025 — Mishandling of Exceptional Conditions (예외 조건의 미숙한 조작) → (신규)
예외 처리 과정에서 부적절하게 시스템이 동작하는 취약점
비정상 상황에서 오류 메시지 누출, fail-open 상태, 논리적 오류 처리 실패 등
2021 OWASP Top 10 vs 2025 OWASP Top 10 — 핵심 변화
| A01 Broken Access Control | A01 Broken Access Control | 유지, SSRF A10 → A01로 통합 |
| A02 Cryptographic Failures | A04 Cryptographic Failures | 순위 하락, 이름 유지 |
| A03 Injection | A05 Injection | 순위 하락 |
| A04 Insecure Design | A06 Insecure Design | 순위 하락 |
| A05 Security Misconfiguration | A02 Security Misconfiguration | 순위 상승 |
| A06 Vulnerable and Outdated Components | A03 Software Supply Chain Failures (확장) | 범위 확장 및 순위 상승 |
| A07 Identification & Authentication Failures | A07 Authentication Failures | 이름 정제, 대체로 범위 유지 |
| A08 Software & Data Integrity Failures | A08 Software or Data Integrity Failures | 이름 변경(범위 확장 여지) |
| A09 Security Logging & Monitoring Failures | A09 Security Logging & Alerting Failures | 알림중심 강조 |
| A10 Server-Side Request Forgery (SSRF) (단독) | A10 Mishandling of Exceptional Conditions (신규) | SSRF는 A01로 통합, 예외 처리 신규 항목 등장 |
'개발자를 위한 WEB 해킹' 카테고리의 다른 글
| Chapter 1 - 실습 환경 구축 (0) | 2026.01.30 |
|---|