OWASP 및 OWASP Top 10이란 무엇입니까?

OWASP(Open Web Application Security Project)는 소프트웨어 보안을 개선하기 위해 노력하는 비영리 재단입니다. OWASP Top 10은 개발자 및 웹 애플리케이션 보안을 위한 표준 인식 문서입니다. 이는 웹 애플리케이션에 대한 가장 중요한 보안 위험에 대한 광범위한 합의를 나타냅니다.

OWASP 상위 10가지 웹 애플리케이션 보안 위험

1. 주사

주입 결함으로 인해 공격자가 WordPress 데이터베이스에 악성 코드를 주입할 수 있습니다. 공격자의 코드는 WordPress 또는 서버가 적절한 승인 없이 명령을 실행하도록 속일 수 있습니다. 악성 코드는 웹 사이트 사용자 목록 내보내기부터 데이터베이스의 테이블 삭제에 이르기까지 모든 작업을 수행할 수 있습니다.

방지

데이터를 명령 및 쿼리와 분리하여 유지하면 주입 취약점을 방지하는 데 도움이 될 수 있습니다.

2. 깨진 인증

손상된 인증 취약점으로 인해 공격자가 사용자 또는 사용자의 암호, 키 또는 세션 토큰을 손상시켜 사용자 계정을 탈취할 수 있습니다.

방지

이중 인증을 사용하여 Broken Authentication 취약점으로부터 웹사이트를 보호할 수 있습니다.

3. 민감한 데이터 노출

민감한 데이터 노출 로부터 올바르게 보호하지 않는 애플리케이션 및 API를 사용하면 공격자가 신용 카드 번호, 건강 기록 또는 기타 개인 개인 정보에 액세스할 수 있습니다.

데이터는 전송 중이 거나 유휴 상태일 때 노출될 수 있습니다 .

• 전송 중인 데이터의 예는 신용 카드 번호가 고객의 브라우저에서 웹사이트의 지불 게이트웨이로 전송되는 경우입니다.
• 나머지 수단에 데이터가 저장되고 사용되지 않습니다. 미사용 데이터의 예는 오프사이트 위치에 저장된 BackupBuddy 백업입니다. 백업은 필요할 때까지 유휴 상태로 유지됩니다.

방지

SSL 인증서를 설치하여 전송 중인 데이터를 보호 및 암호화하고 저장 데이터에 암호화를 추가하여 노출을 방지할 수 있습니다.

4. XML 외부 엔티티(XXE)

많은 구형 또는 잘못 구성된 XML 프로세서는 XML 문서 내에서 하드 드라이브와 같은 외부 엔터티 참조를 평가합니다. 공격자는 XML 파서를 속여 자신이 제어하는 ​​외부 엔터티에 중요한 정보를 전달할 수 있습니다.

방지

XXE 를 방지하는 가장 좋은 방법은 JSON과 같은 덜 복잡한 데이터 형식을 사용하고 민감한 데이터의 직렬화를 피하는 것입니다.

5. 손상된 액세스 제어

Broken Access Control 취약점으로 인해 공격자는 권한 부여를 우회하고 일반적으로 관리자와 같은 더 높은 권한을 가진 사용자로 제한되는 작업을 수행할 수 있습니다.

WordPress의 맥락에서 Broken Access Control 취약점으로 인해 구독자 역할을 가진 사용자가 플러그인 및 사용자 추가/제거와 같은 관리자 수준 작업을 수행할 수 있습니다.

방지

iThemes Security Pro는 신뢰할 수 있는 장치 목록에 대한 관리자 액세스를 제한하여 Broken Access Control로부터 웹사이트를 보호할 수 있습니다.

6. 잘못된 보안 구성

보안 구성 오류 는 목록에서 가장 일반적인 문제입니다. 이러한 유형의 취약점은 일반적으로 안전하지 않은 기본 구성, 지나치게 설명적인 오류 메시지 및 잘못 구성된 HTTP 헤더의 결과입니다.

방지

보안 구성 오류 문제는 코드에서 사용하지 않는 기능을 제거하고 모든 라이브러리를 최신 상태로 유지하며 오류 메시지를 보다 일반화하여 완화할 수 있습니다.

7. 교차 사이트 스크립팅(XSS)

Cross-Site Scripting 취약점은 웹 애플리케이션이 사용자가 URL 경로에 사용자 정의 코드를 추가하도록 허용할 때 발생합니다. 공격자는 이 취약점을 악용하여 피해자의 웹 브라우저에서 악성 코드를 실행하거나, 악성 웹사이트로 리디렉션하거나, 사용자 세션을 하이재킹할 수 있습니다.

방지

iThemes Security Pro 신뢰할 수 있는 장치 기능은 세션 중에 사용자의 장치가 변경되지 않는지 확인하여 세션 하이재킹으로부터 보호하는 데 도움이 될 수 있습니다.

8. 안전하지 않은 역직렬화

직렬화는 iThemes Security Pro 설정을 JSON 파일로 내보내는 것과 같이 애플리케이션 코드의 개체를 나중에 복원할 수 있는 형식으로 변환합니다.

역직렬화는 해당 프로세스의 역순으로, 일부 형식으로 구조화된 데이터를 가져와 다시 개체로 다시 작성합니다. 예를 들어 JSON 파일에 저장한 iThemes Security Pro 설정을 새 웹사이트로 가져옵니다.

안전하지 않은 역직렬화 결함은 원격 코드 실행 익스플로잇으로 이어질 수 있으며 종종 이로 인해 주입 및 권한 상승 공격이 발생할 수 있습니다.

방지

Insecure Deserialization 악용을 완화하는 유일한 방법은 신뢰할 수 없는 소스의 직렬화를 수락하지 않는 것입니다.

9. 알려진 취약점이 있는 구성 요소 사용

개발자가 응용 프로그램에서 라이브러리 및 프레임워크와 같은 구성 요소를 사용하는 것은 유비쿼터스입니다. 여기에는 WordPress 플러그인 및 테마 개발자가 포함됩니다. 이러한 타사 라이브러리 및 프레임워크는 제대로 업데이트되지 않으면 보안 허점을 유발할 수 있습니다.

방지

개발자는 사용하지 않는 타사 코드를 제거하고 신뢰할 수 있는 소스의 구성 요소만 사용하여 알려진 취약점 이 있는 구성 요소를 사용할 위험을 최소화할 수 있습니다.

10. 불충분한 로깅 및 모니터링

불충분한 로깅 및 모니터링 으로 인해 보안 침해 탐지가 지연될 수 있습니다. 대부분의 침해 연구에 따르면 침해를 감지하는 데 걸리는 시간이 200일 이상입니다! 그 시간 동안 공격자는 다른 시스템을 침해하고 더 많은 데이터를 수정, 훔치거나 파괴할 수 있습니다.

방지

iThemes Security Pro WordPress 보안 로그는 다양한 악성 활동을 모니터링하고 수집된 정보를 사용하여 공격을 차단하고 문제가 발생하면 알려줍니다.

iThemes Security Pro 사이트 스캔으로 더 많은 보호 기능 추가

격월로 게시되는 취약점 정리 게시물에서는 최신 공개된 WordPress 코어, 플러그인 및 테마 취약점을 모두 공유합니다. 우리가 라운드업에서 다루는 많은 플러그인과 테마에는 OWASP 상위 10개 목록에 있는 익스플로잇이 있습니다.

웹사이트 해킹의 주범은 패치가 있었지만 적용되지 않은 취약점입니다. iThemes Security Pro Site Scan을 WordPress 보안 도구 벨트에 추가하여 알려진 보안 문제로 인해 웹사이트가 다운되지 않도록 보호하세요. iThemes Security Pro Site Scanner는 사이트에 알려진 취약점이 있는지 확인하고 사용 가능한 경우 패치를 자동으로 적용합니다.

테마가 알려진 취약점이 있는 구성 요소를 사용하고 있는지 또는 알려진 Cross-Site Scripting 취약점이 있는 플러그인을 사용하고 있는지 여부에 관계없이 iThemes Security Pro Site Scan에서 처리할 수 있습니다.

요약: OWASP 상위 10위

OWASP Top 10 목록은 가장 일반적인 보안 취약성으로부터 애플리케이션을 보호하는 방법에 대한 인식을 확산시키는 훌륭한 리소스입니다. 불행히도 이러한 취약점이 상위 10개 목록에 포함된 이유는 널리 퍼져 있기 때문입니다. iThemes Security Pro와 같은 WordPress 보안 플러그인을 사용하면 이러한 많은 일반적인 보안 문제로부터 웹사이트를 보호하고 보호할 수 있습니다.

마이클 무어

Michael은 매주 WordPress 취약점 보고서를 작성하여 사이트를 안전하게 보호합니다. iThemes의 제품 관리자로서 그는 iThemes 제품 라인업을 지속적으로 개선하는 데 도움을 줍니다. 그는 거대한 괴짜이며 기술, 오래된 및 새로운 모든 것에 대해 배우는 것을 좋아합니다. 마이클이 아내와 딸과 어울리고, 일하지 않을 때는 책을 읽거나 음악을 듣는 것을 볼 수 있습니다.