OWASP

• 2001년에 탄생한 비영리 단체

• 웹 애플리케이션이 급격히 발전하면서 많은 사람들이 인터넷을 통해 다양한 서비스를 이용하기 시작했는데, 이러한 웹 애플리케이션에는 보안 취약점이 많이 존재했습니다. 이로 인해 해커들이 민감한 데이터를 탈취하거나 시스템을 공격하는 일이 빈번하게 발생

• 당시에는 웹 애플리케이션 보안을 위한 명확한 지침이나 표준이 부족했고, 보안 문제에 대한 인식도 낮았습니다. 이런 배경에서 OWASP는 웹 애플리케이션의 보안 문제를 체계적으로 다루고, 보안 강화를 위한 도구, 리소스, 지침 등을 제공하기 위해 설립

• 어떻게 발음 함

  https://youtu.be/0CV6CF5TBkU?si=KWwLulncBVUYNG0B

OWASP Top 10

• 위험은 발견된 보안 결함의 빈도, 발견된 취약성의 심각도, 잠재적 영향의 규모에 따라 순위
• 보통 4년마다 갱신

2025년에 새로나오겠지만 2021 버전 목차 별로 알아보자

프론트엔드 개발자를 위한 OWASP Top 10 항목 설명에 구체적인 예를 추가해보겠습니다.

1. A01: Broken Access Control (접근 제어 실패) ☆

• 어떤 문제인가요
  • 사용자가 자신에게 허용되지 않은 기능이나 데이터에 접근할 수 있는 상황입니다.
• 예시
  • 예를 들어, 관리자만 볼 수 있는 대시보드 페이지가 있는데, 일반 사용자가 브라우저의 URL에 /admin을 입력해 이 페이지에 접근할 수 있다면 접근 제어에 실패한 것입니다.
• Broken Access Control의 대표적인 원인들
  • 사용자 권한 검사 누락
  • 클라이언트에서만 접근 제어를 한다
  • 역할 설정이 복잡한 경우
  • 인증과 인가의 혼동
    • 개발자는 종종 사용자가 인증되었을 때(로그인 성공) 모든 리소스에 접근할 수 있도록 설정하는 실수를 합니다. 하지만 인증과 권한 부여는 다른 개념으로, 인증은 사용자가 누구인지 확인하는 것이고, 권한 부여는 그 사용자가 무엇을 할 수 있는지를 결정하는 것입니다.
  • 사용자 이용 동선에 대한 신뢰
    • 항상 어뷰저는 있다
• Broken Access Control이 1위가 된 이유
  • 앱들이 점점 더 복잡해지면서 인가 체크하는 빈도가 높아졌다
  • 뚤리게 됐을 경우는 심각한 결과를 초래한다
  • 테스트 하기도 어렵다
• 대응 방법
  • 이러한 페이지는 서버 측에서 반드시 사용자의 권한을 확인하고, 권한이 없는 사용자에게는 접근을 차단해야 합니다.

2. A02: Cryptographic Failures (암호화 실패) ☆

• 어떤 문제인가요?
  • 중요한 데이터가 안전하게 보호되지 않는 경우입니다.
  • 이전 이름은 민감한 데이터 노출 하지만 근본 원인을 표현하기 위해 암호화 실패로 이름 변경
• 예시
  • 사용자의 비밀번호를 로컬 스토리지에 평문으로 저장해두었다면, 해커가 브라우저를 통해 이 정보를 쉽게 탈취할 수 있습니다. 또한, HTTPS가 아닌 HTTP로 비밀번호를 전송하면, 중간에 데이터를 도청당할 수 있습니다.