2010년의 7,9번 항목이 2013년 6번 항목으로 합쳐졌고 7번과 9번항목은 새로 생긴 항목이다.
A1- Injection
SQL삽입, 명령어삽입, LDAP삽입과 같은 취약점이 포함되며, 주요원읶은 신뢰
할 수 없는 외부 값에 의해 발생되며, 명령어실행 또는 접근이 불가한 데이
터에 대한 접근 등의 취약점을 발생시킨다.
A2 – Broken Authentication and Session Management
인증과 세션관리와 관련된 어플리케이션의 비정상적인 동작으로 인해 패스
워드, 키, 세션토큰 및 사용자도용과 같은 취약점을 발생시킨다.
A3 – XSS
신뢰할 수 없는 외부 값을 적젃한 검증 없이 웹 브라우저로 전송하는 경우
발생되는 취약점으로, 사용자세션을 가로채거나, 홈페이지 변조, 악의적읶 사
이트 이동 등의 공격을 수행할 수 있다.
A4-Insecure Direct Object References
파일, 디렉토리. 데이터베이스 키와 같은 내부적으로 처리되는 오브젝트가 노출되는 경우, 다운로드 취약점 등을 이용하여 시스템 파일에 접근하는 취약점 등을 의미한다.
A5-Security Misconfiguration
어플리케이션, 프레임워크, 어플리케이션서버, 데이터베이스서버, 플랫폼 등에 보안 설정을 적절하게 설정하고, 최적화된 값으로 유지하며, 또한 소프트웨어는 최신의 업데이트 상태로 유지하여야 한다.
A6-Secsitive Data Exposure
대다수의 웹 어플리케이션은 카드번호 등과 같은 개인정보를 적절하게 보호하고 있지 않기 때문에, 개인정보유출과 같은 취약점이 발생하고 있다. 이를 보완하기 위해 데이터 저장시 암호화 및 데이터 전송 시에도 SSL등을 이용하여야 한다.
A7-Missing Function Level Access Control
가상적으로는 UI에서 보여지는 특정기능을 수행 전, 기능접근제한권한을 검중해야 하나, 어플리케이션은 각 기능에 대한 접근 시 동일한 접근통제검사 수행이 요구된다. 만약 적절하게 수행되지 않는 경우 공격자는 비인가된 기능에 접근하기 위해, 정상적인 요청을 변조할 수도 있다.
A8-CSRF
로그온된 피해자의 웹 브라우저를 통해. 세션큐키 및 기타 다른 인증정보가 포함된 변조된 HTTP요청을 전송시켜 정상적인 요청처럼 보이게 하는 기법으로 물품구매, 사이트 글 변조 등의 악의적인 행동을 하는 취약점을 의미한다.
A9-Using Components with Known Vulnerabilities
슈퍼유저권한으로 운영되는 취약한 라이브러리, 프레임워크 및 기타 다른 소프트웨어 모듈로 인해 데이터 유실 및 서버 권한획득과 같은 취약성이 존재한다.
A10-Unvalidated Redirects and Rowwards
웹 어플리케이션에 접속한 사용자를 다른 페이지로 분기 시키는 경우, 이동되는 목적지에 대한 검증부재 시 피싱, 악성코드 사이트 등의 접속 및 인가 되지 않는 페이지 접근 등의 문제점을 일으킬 수 있다.
다음 글부터는 하나하나 좀더 자세하게 알아보도록 하겠습니다~