OWASP의 2021 리스트 셔플: 새로운 전투 계획이자 주요 적
점점 더 혼란스러운 이 세상에서 사람들이 믿고 의지할 수 있는 몇 가지 변함이 항상 존재해 왔습니다. 아침에는 해가 뜨고 밤에 다시 질 것이고, 마리오는 언제나 소닉 더 헤지호그보다 더 차갑고, 인젝션 공격은 오픈 웹 애플리케이션 보안 프로젝트 (OWASP) 목록에서 항상 상위권을 차지할 것입니다. 가장 흔한 상위 10위 공격자가 적극적으로 악용하는 위험한 취약성
음, 내일 해가 뜰 거고, 마리오는 여전히 소닉에서 “원 업 (one-up)" 을 하고 있지만, 2021년에 갱신된 악명 높은 OWASP 목록에서 인젝션 어택은 1위 자리를 벗어났습니다.가장 오래된 형태의 공격 중 하나인데 주사 취약점 컴퓨터 네트워킹만큼이나 오래 전부터 존재해 왔습니다.포괄적인 취약점은 기존 공격의 모든 것을 포함하여 광범위한 공격의 원인이 됩니다. SQL 인젝션 객체 그래프 탐색 라이브러리 (OGNL) 에 대해 시작된 익스플로잇에 대해심지어 를 사용하여 서버를 직접 공격하는 것도 포함됩니다. OS 커맨드 인젝션 기법.공격 가능성이 있는 장소의 수는 말할 것도 없고, 공격자가 다양한 인젝션 취약점을 이용할 수 있다는 점 때문에 이 범주는 수년 동안 최고의 자리를 지켰습니다.
하지만 인젝션 킹은 쓰러졌습니다.왕 만세.
인젝션 취약점 문제를 마침내 해결했다는 뜻인가요?기회는 아니야.보안 적 1위라는 지위에는 크게 뒤쳐지지 않았고, OWASP 목록에서 3위까지만 내려갔습니다.인젝션 공격의 지속적인 위험성을 과소평가하는 것은 실수이겠지만, 또 다른 취약점 범주가 이를 능가할 수 있었다는 사실은 의미가 있습니다. 새로운 OWASP 최상위 도그가 실제로 얼마나 널리 퍼져 있고 개발자들이 앞으로 이 문제에 주의를 기울여야 하는지를 보여주기 때문입니다.
하지만 아마도 가장 흥미로운 점은 OWASP Top 10 2021에 대대적인 개편이 반영되어 있다는 점일 것입니다. 안전하지 않은 설계, 소프트웨어 및 데이터 무결성 실패, 커뮤니티 설문조사 결과를 기반으로 한 항목인 서버 측 요청 위조 등이 있습니다.이로 인해 아키텍처 취약성에 대한 관심이 높아지고 있으며 표면적 버그를 넘어 소프트웨어 보안의 벤치마크 대상으로 삼고 있습니다.
깨진 액세스 제어가 왕좌를 차지하다 (추세를 드러낸다)
깨진 액세스 제어는 OWASP 10대 취약점 목록에서 5위를 차지했던 것이 현재 1위까지 치솟았습니다.Injection 취약점이나 안전하지 않은 디자인과 같은 새로운 항목과 마찬가지로, 이 취약점은 광범위한 코딩 결함을 포함하고 있는데, 이 취약점은 집합적으로 여러 측면에서 손상을 허용한다는 점에서 그 인기가 더욱 높아지고 있습니다.이 범주에는 사용자가 의도한 권한을 벗어난 행동을 할 수 있도록 액세스 제어 정책을 위반할 수 있는 모든 인스턴스가 포함됩니다.
OWASP가 취약성 제품군을 최상위 지점으로 끌어올리면서 인용한 깨진 액세스 제어의 예로는 공격자가 URL, 내부 애플리케이션 상태 또는 HTML 페이지의 일부를 수정할 수 있게 하는 경우가 있습니다.또한 사용자가 기본 액세스 키를 변경하여 애플리케이션, 사이트 또는 API가 자신이 다른 사람 (예: 상위 권한을 가진 관리자) 인 것으로 인식하도록 허용할 수도 있습니다.심지어 공격자가 메타데이터를 수정하지 못하도록 제한되지 않아 JSON 웹 토큰, 쿠키 또는 액세스 제어 토큰과 같은 항목을 변경할 수 있는 취약성도 포함되어 있습니다.
공격자는 일단 악용되면 이 취약성 계열의 취약점을 사용하여 다음과 같은 작업을 수행할 수 있습니다. 파일 또는 객체 우회 권한 부여를 통해 데이터를 도용하거나 데이터베이스 삭제와 같은 파괴적인 관리자 수준의 기능을 수행할 수 있습니다.이로 인해 액세스 제어가 중단되는 것은 매우 위험할 뿐만 아니라 점점 더 흔해지고 있습니다.
인증 및 액세스 제어 취약점이 공격자가 악용할 수 있는 가장 빈번한 기반이 되고 있다는 사실은 매우 매력적이지만 놀라운 일은 아닙니다.Verizon의 최신 소식 데이터 침해 조사 보고서 액세스 제어 문제는 거의 모든 산업, 특히 IT 및 의료 분야에서 널리 퍼져 있으며 전체 보안 침해 중 무려 85% 가 인적 요소와 관련된 것으로 나타났습니다.현재 “인적 요소”에는 피싱 공격과 같은 사고가 포함되는데, 이는 엔지니어링상의 문제는 아니지만 침해 중 3% 가 악용 가능한 취약점과 관련된 것이었으며, 보고서에 따르면 보안 구성 오류와 같이 주로 오래된 취약점과 인적 오류로 인한 것이었습니다.
XSS 및 SQL 인젝션과 같은 노후한 보안 버그가 계속해서 개발자의 마음을 사로잡는 가운데, 핵심 보안 설계가 실패하여 위협 행위자에게 매우 유리할 수 있는 아키텍처 취약점에 자리를 내주고 있다는 것이 분명해졌습니다. 특히 특정 애플리케이션 버전의 보안 결함이 공개된 후 패치를 적용하지 않는 경우 더욱 그렇습니다.
문제는 기본을 넘어서는 교육과 기술 개발을 받는 엔지니어가 거의 없으며, 애초에 일반적으로 개발자가 도입한 현지화된 코드 수준의 버그를 넘어서서 지식과 실제 적용을 진정으로 확장하는 엔지니어는 여전히 적다는 것입니다.
로봇이 거의 발견하지 못하는 버그 방지
새로 그룹화된 취약점 취약성 패밀리는 상당히 다양합니다.깨진 액세스 제어의 몇 가지 구체적인 예와 이를 방지하는 방법을 확인할 수 있습니다. 우리의 유튜브 채널 그리고 우리 블로그.
하지만 저는 이 새로운 OWASP Top 10을 기념하는 것이 중요하다고 생각합니다. 스캐너가 반드시 포착할 수 없는 공격 벡터를 포함하는 더 광범위한 공격 벡터를 포함하여 실제로 더 다양합니다.코드 수준의 약점이 발견될 때마다 아무리 자동화된 방패와 무기가 있더라도 대부분의 보안 기술 스택은 더 복잡한 구조적 결함을 알아차리지 못할 것입니다.OWASP Top 10 목록에서 가장 큰 비중을 차지하는 것은 여전히 스캐닝 데이터를 기반으로 작성되지만, 안전하지 않은 설계와 데이터 무결성 실패 등을 다루는 새로운 항목은 로봇이 할 수 없는 것을 달성하기 위해 개발자의 교육 범위를 빠르게 확장해야 한다는 것을 보여줍니다.
간단히 말해서 보안 스캐너는 훌륭한 위협 모델러가 되지는 않지만 보안 기술을 갖춘 개발자 팀은 모범 사례와 비즈니스 요구 사항에 따라 보안 IQ를 높여 AppSec 팀을 헤아릴 수 없을 정도로 도울 수 있습니다.OWASP Top 10은 훌륭한 기준이지만 위협 환경이 너무 빠르게 변화하기 때문에 (내부 개발 목표의 요구는 말할 것도 없고) 보안에 대한 개발자 기술 향상을 위해 더 심층적이고 구체적인 계획을 세워야 한다는 점을 염두에 두고 이를 훌륭한 보안 프로그램에 반영해야 합니다.그렇게 하지 않으면 필연적으로 조기 치료 기회를 놓치게 되며 예방적이고 인간 주도의 사이버 보안에 대한 성공적인 총체적 접근이 저해될 수밖에 없습니다.
우리는 2021년 OWASP 톱 10을 준비했습니다. 이는 시작에 불과합니다!개발자를 지금 바로 시작하세요 고급 보안 기술 경로 오늘.
취약점의 왕으로 악명 높은 인젝션 공격 (범주별) 은 액세스 제어 실패로 최악 중 최악으로 1위 자리를 잃었기 때문에 개발자들은 주의를 기울여야 합니다.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
점점 더 혼란스러운 이 세상에서 사람들이 믿고 의지할 수 있는 몇 가지 변함이 항상 존재해 왔습니다. 아침에는 해가 뜨고 밤에 다시 질 것이고, 마리오는 언제나 소닉 더 헤지호그보다 더 차갑고, 인젝션 공격은 오픈 웹 애플리케이션 보안 프로젝트 (OWASP) 목록에서 항상 상위권을 차지할 것입니다. 가장 흔한 상위 10위 공격자가 적극적으로 악용하는 위험한 취약성
음, 내일 해가 뜰 거고, 마리오는 여전히 소닉에서 “원 업 (one-up)" 을 하고 있지만, 2021년에 갱신된 악명 높은 OWASP 목록에서 인젝션 어택은 1위 자리를 벗어났습니다.가장 오래된 형태의 공격 중 하나인데 주사 취약점 컴퓨터 네트워킹만큼이나 오래 전부터 존재해 왔습니다.포괄적인 취약점은 기존 공격의 모든 것을 포함하여 광범위한 공격의 원인이 됩니다. SQL 인젝션 객체 그래프 탐색 라이브러리 (OGNL) 에 대해 시작된 익스플로잇에 대해심지어 를 사용하여 서버를 직접 공격하는 것도 포함됩니다. OS 커맨드 인젝션 기법.공격 가능성이 있는 장소의 수는 말할 것도 없고, 공격자가 다양한 인젝션 취약점을 이용할 수 있다는 점 때문에 이 범주는 수년 동안 최고의 자리를 지켰습니다.
하지만 인젝션 킹은 쓰러졌습니다.왕 만세.
인젝션 취약점 문제를 마침내 해결했다는 뜻인가요?기회는 아니야.보안 적 1위라는 지위에는 크게 뒤쳐지지 않았고, OWASP 목록에서 3위까지만 내려갔습니다.인젝션 공격의 지속적인 위험성을 과소평가하는 것은 실수이겠지만, 또 다른 취약점 범주가 이를 능가할 수 있었다는 사실은 의미가 있습니다. 새로운 OWASP 최상위 도그가 실제로 얼마나 널리 퍼져 있고 개발자들이 앞으로 이 문제에 주의를 기울여야 하는지를 보여주기 때문입니다.
하지만 아마도 가장 흥미로운 점은 OWASP Top 10 2021에 대대적인 개편이 반영되어 있다는 점일 것입니다. 안전하지 않은 설계, 소프트웨어 및 데이터 무결성 실패, 커뮤니티 설문조사 결과를 기반으로 한 항목인 서버 측 요청 위조 등이 있습니다.이로 인해 아키텍처 취약성에 대한 관심이 높아지고 있으며 표면적 버그를 넘어 소프트웨어 보안의 벤치마크 대상으로 삼고 있습니다.
깨진 액세스 제어가 왕좌를 차지하다 (추세를 드러낸다)
깨진 액세스 제어는 OWASP 10대 취약점 목록에서 5위를 차지했던 것이 현재 1위까지 치솟았습니다.Injection 취약점이나 안전하지 않은 디자인과 같은 새로운 항목과 마찬가지로, 이 취약점은 광범위한 코딩 결함을 포함하고 있는데, 이 취약점은 집합적으로 여러 측면에서 손상을 허용한다는 점에서 그 인기가 더욱 높아지고 있습니다.이 범주에는 사용자가 의도한 권한을 벗어난 행동을 할 수 있도록 액세스 제어 정책을 위반할 수 있는 모든 인스턴스가 포함됩니다.
OWASP가 취약성 제품군을 최상위 지점으로 끌어올리면서 인용한 깨진 액세스 제어의 예로는 공격자가 URL, 내부 애플리케이션 상태 또는 HTML 페이지의 일부를 수정할 수 있게 하는 경우가 있습니다.또한 사용자가 기본 액세스 키를 변경하여 애플리케이션, 사이트 또는 API가 자신이 다른 사람 (예: 상위 권한을 가진 관리자) 인 것으로 인식하도록 허용할 수도 있습니다.심지어 공격자가 메타데이터를 수정하지 못하도록 제한되지 않아 JSON 웹 토큰, 쿠키 또는 액세스 제어 토큰과 같은 항목을 변경할 수 있는 취약성도 포함되어 있습니다.
공격자는 일단 악용되면 이 취약성 계열의 취약점을 사용하여 다음과 같은 작업을 수행할 수 있습니다. 파일 또는 객체 우회 권한 부여를 통해 데이터를 도용하거나 데이터베이스 삭제와 같은 파괴적인 관리자 수준의 기능을 수행할 수 있습니다.이로 인해 액세스 제어가 중단되는 것은 매우 위험할 뿐만 아니라 점점 더 흔해지고 있습니다.
인증 및 액세스 제어 취약점이 공격자가 악용할 수 있는 가장 빈번한 기반이 되고 있다는 사실은 매우 매력적이지만 놀라운 일은 아닙니다.Verizon의 최신 소식 데이터 침해 조사 보고서 액세스 제어 문제는 거의 모든 산업, 특히 IT 및 의료 분야에서 널리 퍼져 있으며 전체 보안 침해 중 무려 85% 가 인적 요소와 관련된 것으로 나타났습니다.현재 “인적 요소”에는 피싱 공격과 같은 사고가 포함되는데, 이는 엔지니어링상의 문제는 아니지만 침해 중 3% 가 악용 가능한 취약점과 관련된 것이었으며, 보고서에 따르면 보안 구성 오류와 같이 주로 오래된 취약점과 인적 오류로 인한 것이었습니다.
XSS 및 SQL 인젝션과 같은 노후한 보안 버그가 계속해서 개발자의 마음을 사로잡는 가운데, 핵심 보안 설계가 실패하여 위협 행위자에게 매우 유리할 수 있는 아키텍처 취약점에 자리를 내주고 있다는 것이 분명해졌습니다. 특히 특정 애플리케이션 버전의 보안 결함이 공개된 후 패치를 적용하지 않는 경우 더욱 그렇습니다.
문제는 기본을 넘어서는 교육과 기술 개발을 받는 엔지니어가 거의 없으며, 애초에 일반적으로 개발자가 도입한 현지화된 코드 수준의 버그를 넘어서서 지식과 실제 적용을 진정으로 확장하는 엔지니어는 여전히 적다는 것입니다.
로봇이 거의 발견하지 못하는 버그 방지
새로 그룹화된 취약점 취약성 패밀리는 상당히 다양합니다.깨진 액세스 제어의 몇 가지 구체적인 예와 이를 방지하는 방법을 확인할 수 있습니다. 우리의 유튜브 채널 그리고 우리 블로그.
하지만 저는 이 새로운 OWASP Top 10을 기념하는 것이 중요하다고 생각합니다. 스캐너가 반드시 포착할 수 없는 공격 벡터를 포함하는 더 광범위한 공격 벡터를 포함하여 실제로 더 다양합니다.코드 수준의 약점이 발견될 때마다 아무리 자동화된 방패와 무기가 있더라도 대부분의 보안 기술 스택은 더 복잡한 구조적 결함을 알아차리지 못할 것입니다.OWASP Top 10 목록에서 가장 큰 비중을 차지하는 것은 여전히 스캐닝 데이터를 기반으로 작성되지만, 안전하지 않은 설계와 데이터 무결성 실패 등을 다루는 새로운 항목은 로봇이 할 수 없는 것을 달성하기 위해 개발자의 교육 범위를 빠르게 확장해야 한다는 것을 보여줍니다.
간단히 말해서 보안 스캐너는 훌륭한 위협 모델러가 되지는 않지만 보안 기술을 갖춘 개발자 팀은 모범 사례와 비즈니스 요구 사항에 따라 보안 IQ를 높여 AppSec 팀을 헤아릴 수 없을 정도로 도울 수 있습니다.OWASP Top 10은 훌륭한 기준이지만 위협 환경이 너무 빠르게 변화하기 때문에 (내부 개발 목표의 요구는 말할 것도 없고) 보안에 대한 개발자 기술 향상을 위해 더 심층적이고 구체적인 계획을 세워야 한다는 점을 염두에 두고 이를 훌륭한 보안 프로그램에 반영해야 합니다.그렇게 하지 않으면 필연적으로 조기 치료 기회를 놓치게 되며 예방적이고 인간 주도의 사이버 보안에 대한 성공적인 총체적 접근이 저해될 수밖에 없습니다.
우리는 2021년 OWASP 톱 10을 준비했습니다. 이는 시작에 불과합니다!개발자를 지금 바로 시작하세요 고급 보안 기술 경로 오늘.
점점 더 혼란스러운 이 세상에서 사람들이 믿고 의지할 수 있는 몇 가지 변함이 항상 존재해 왔습니다. 아침에는 해가 뜨고 밤에 다시 질 것이고, 마리오는 언제나 소닉 더 헤지호그보다 더 차갑고, 인젝션 공격은 오픈 웹 애플리케이션 보안 프로젝트 (OWASP) 목록에서 항상 상위권을 차지할 것입니다. 가장 흔한 상위 10위 공격자가 적극적으로 악용하는 위험한 취약성
음, 내일 해가 뜰 거고, 마리오는 여전히 소닉에서 “원 업 (one-up)" 을 하고 있지만, 2021년에 갱신된 악명 높은 OWASP 목록에서 인젝션 어택은 1위 자리를 벗어났습니다.가장 오래된 형태의 공격 중 하나인데 주사 취약점 컴퓨터 네트워킹만큼이나 오래 전부터 존재해 왔습니다.포괄적인 취약점은 기존 공격의 모든 것을 포함하여 광범위한 공격의 원인이 됩니다. SQL 인젝션 객체 그래프 탐색 라이브러리 (OGNL) 에 대해 시작된 익스플로잇에 대해심지어 를 사용하여 서버를 직접 공격하는 것도 포함됩니다. OS 커맨드 인젝션 기법.공격 가능성이 있는 장소의 수는 말할 것도 없고, 공격자가 다양한 인젝션 취약점을 이용할 수 있다는 점 때문에 이 범주는 수년 동안 최고의 자리를 지켰습니다.
하지만 인젝션 킹은 쓰러졌습니다.왕 만세.
인젝션 취약점 문제를 마침내 해결했다는 뜻인가요?기회는 아니야.보안 적 1위라는 지위에는 크게 뒤쳐지지 않았고, OWASP 목록에서 3위까지만 내려갔습니다.인젝션 공격의 지속적인 위험성을 과소평가하는 것은 실수이겠지만, 또 다른 취약점 범주가 이를 능가할 수 있었다는 사실은 의미가 있습니다. 새로운 OWASP 최상위 도그가 실제로 얼마나 널리 퍼져 있고 개발자들이 앞으로 이 문제에 주의를 기울여야 하는지를 보여주기 때문입니다.
하지만 아마도 가장 흥미로운 점은 OWASP Top 10 2021에 대대적인 개편이 반영되어 있다는 점일 것입니다. 안전하지 않은 설계, 소프트웨어 및 데이터 무결성 실패, 커뮤니티 설문조사 결과를 기반으로 한 항목인 서버 측 요청 위조 등이 있습니다.이로 인해 아키텍처 취약성에 대한 관심이 높아지고 있으며 표면적 버그를 넘어 소프트웨어 보안의 벤치마크 대상으로 삼고 있습니다.
깨진 액세스 제어가 왕좌를 차지하다 (추세를 드러낸다)
깨진 액세스 제어는 OWASP 10대 취약점 목록에서 5위를 차지했던 것이 현재 1위까지 치솟았습니다.Injection 취약점이나 안전하지 않은 디자인과 같은 새로운 항목과 마찬가지로, 이 취약점은 광범위한 코딩 결함을 포함하고 있는데, 이 취약점은 집합적으로 여러 측면에서 손상을 허용한다는 점에서 그 인기가 더욱 높아지고 있습니다.이 범주에는 사용자가 의도한 권한을 벗어난 행동을 할 수 있도록 액세스 제어 정책을 위반할 수 있는 모든 인스턴스가 포함됩니다.
OWASP가 취약성 제품군을 최상위 지점으로 끌어올리면서 인용한 깨진 액세스 제어의 예로는 공격자가 URL, 내부 애플리케이션 상태 또는 HTML 페이지의 일부를 수정할 수 있게 하는 경우가 있습니다.또한 사용자가 기본 액세스 키를 변경하여 애플리케이션, 사이트 또는 API가 자신이 다른 사람 (예: 상위 권한을 가진 관리자) 인 것으로 인식하도록 허용할 수도 있습니다.심지어 공격자가 메타데이터를 수정하지 못하도록 제한되지 않아 JSON 웹 토큰, 쿠키 또는 액세스 제어 토큰과 같은 항목을 변경할 수 있는 취약성도 포함되어 있습니다.
공격자는 일단 악용되면 이 취약성 계열의 취약점을 사용하여 다음과 같은 작업을 수행할 수 있습니다. 파일 또는 객체 우회 권한 부여를 통해 데이터를 도용하거나 데이터베이스 삭제와 같은 파괴적인 관리자 수준의 기능을 수행할 수 있습니다.이로 인해 액세스 제어가 중단되는 것은 매우 위험할 뿐만 아니라 점점 더 흔해지고 있습니다.
인증 및 액세스 제어 취약점이 공격자가 악용할 수 있는 가장 빈번한 기반이 되고 있다는 사실은 매우 매력적이지만 놀라운 일은 아닙니다.Verizon의 최신 소식 데이터 침해 조사 보고서 액세스 제어 문제는 거의 모든 산업, 특히 IT 및 의료 분야에서 널리 퍼져 있으며 전체 보안 침해 중 무려 85% 가 인적 요소와 관련된 것으로 나타났습니다.현재 “인적 요소”에는 피싱 공격과 같은 사고가 포함되는데, 이는 엔지니어링상의 문제는 아니지만 침해 중 3% 가 악용 가능한 취약점과 관련된 것이었으며, 보고서에 따르면 보안 구성 오류와 같이 주로 오래된 취약점과 인적 오류로 인한 것이었습니다.
XSS 및 SQL 인젝션과 같은 노후한 보안 버그가 계속해서 개발자의 마음을 사로잡는 가운데, 핵심 보안 설계가 실패하여 위협 행위자에게 매우 유리할 수 있는 아키텍처 취약점에 자리를 내주고 있다는 것이 분명해졌습니다. 특히 특정 애플리케이션 버전의 보안 결함이 공개된 후 패치를 적용하지 않는 경우 더욱 그렇습니다.
문제는 기본을 넘어서는 교육과 기술 개발을 받는 엔지니어가 거의 없으며, 애초에 일반적으로 개발자가 도입한 현지화된 코드 수준의 버그를 넘어서서 지식과 실제 적용을 진정으로 확장하는 엔지니어는 여전히 적다는 것입니다.
로봇이 거의 발견하지 못하는 버그 방지
새로 그룹화된 취약점 취약성 패밀리는 상당히 다양합니다.깨진 액세스 제어의 몇 가지 구체적인 예와 이를 방지하는 방법을 확인할 수 있습니다. 우리의 유튜브 채널 그리고 우리 블로그.
하지만 저는 이 새로운 OWASP Top 10을 기념하는 것이 중요하다고 생각합니다. 스캐너가 반드시 포착할 수 없는 공격 벡터를 포함하는 더 광범위한 공격 벡터를 포함하여 실제로 더 다양합니다.코드 수준의 약점이 발견될 때마다 아무리 자동화된 방패와 무기가 있더라도 대부분의 보안 기술 스택은 더 복잡한 구조적 결함을 알아차리지 못할 것입니다.OWASP Top 10 목록에서 가장 큰 비중을 차지하는 것은 여전히 스캐닝 데이터를 기반으로 작성되지만, 안전하지 않은 설계와 데이터 무결성 실패 등을 다루는 새로운 항목은 로봇이 할 수 없는 것을 달성하기 위해 개발자의 교육 범위를 빠르게 확장해야 한다는 것을 보여줍니다.
간단히 말해서 보안 스캐너는 훌륭한 위협 모델러가 되지는 않지만 보안 기술을 갖춘 개발자 팀은 모범 사례와 비즈니스 요구 사항에 따라 보안 IQ를 높여 AppSec 팀을 헤아릴 수 없을 정도로 도울 수 있습니다.OWASP Top 10은 훌륭한 기준이지만 위협 환경이 너무 빠르게 변화하기 때문에 (내부 개발 목표의 요구는 말할 것도 없고) 보안에 대한 개발자 기술 향상을 위해 더 심층적이고 구체적인 계획을 세워야 한다는 점을 염두에 두고 이를 훌륭한 보안 프로그램에 반영해야 합니다.그렇게 하지 않으면 필연적으로 조기 치료 기회를 놓치게 되며 예방적이고 인간 주도의 사이버 보안에 대한 성공적인 총체적 접근이 저해될 수밖에 없습니다.
우리는 2021년 OWASP 톱 10을 준비했습니다. 이는 시작에 불과합니다!개발자를 지금 바로 시작하세요 고급 보안 기술 경로 오늘.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
점점 더 혼란스러운 이 세상에서 사람들이 믿고 의지할 수 있는 몇 가지 변함이 항상 존재해 왔습니다. 아침에는 해가 뜨고 밤에 다시 질 것이고, 마리오는 언제나 소닉 더 헤지호그보다 더 차갑고, 인젝션 공격은 오픈 웹 애플리케이션 보안 프로젝트 (OWASP) 목록에서 항상 상위권을 차지할 것입니다. 가장 흔한 상위 10위 공격자가 적극적으로 악용하는 위험한 취약성
음, 내일 해가 뜰 거고, 마리오는 여전히 소닉에서 “원 업 (one-up)" 을 하고 있지만, 2021년에 갱신된 악명 높은 OWASP 목록에서 인젝션 어택은 1위 자리를 벗어났습니다.가장 오래된 형태의 공격 중 하나인데 주사 취약점 컴퓨터 네트워킹만큼이나 오래 전부터 존재해 왔습니다.포괄적인 취약점은 기존 공격의 모든 것을 포함하여 광범위한 공격의 원인이 됩니다. SQL 인젝션 객체 그래프 탐색 라이브러리 (OGNL) 에 대해 시작된 익스플로잇에 대해심지어 를 사용하여 서버를 직접 공격하는 것도 포함됩니다. OS 커맨드 인젝션 기법.공격 가능성이 있는 장소의 수는 말할 것도 없고, 공격자가 다양한 인젝션 취약점을 이용할 수 있다는 점 때문에 이 범주는 수년 동안 최고의 자리를 지켰습니다.
하지만 인젝션 킹은 쓰러졌습니다.왕 만세.
인젝션 취약점 문제를 마침내 해결했다는 뜻인가요?기회는 아니야.보안 적 1위라는 지위에는 크게 뒤쳐지지 않았고, OWASP 목록에서 3위까지만 내려갔습니다.인젝션 공격의 지속적인 위험성을 과소평가하는 것은 실수이겠지만, 또 다른 취약점 범주가 이를 능가할 수 있었다는 사실은 의미가 있습니다. 새로운 OWASP 최상위 도그가 실제로 얼마나 널리 퍼져 있고 개발자들이 앞으로 이 문제에 주의를 기울여야 하는지를 보여주기 때문입니다.
하지만 아마도 가장 흥미로운 점은 OWASP Top 10 2021에 대대적인 개편이 반영되어 있다는 점일 것입니다. 안전하지 않은 설계, 소프트웨어 및 데이터 무결성 실패, 커뮤니티 설문조사 결과를 기반으로 한 항목인 서버 측 요청 위조 등이 있습니다.이로 인해 아키텍처 취약성에 대한 관심이 높아지고 있으며 표면적 버그를 넘어 소프트웨어 보안의 벤치마크 대상으로 삼고 있습니다.
깨진 액세스 제어가 왕좌를 차지하다 (추세를 드러낸다)
깨진 액세스 제어는 OWASP 10대 취약점 목록에서 5위를 차지했던 것이 현재 1위까지 치솟았습니다.Injection 취약점이나 안전하지 않은 디자인과 같은 새로운 항목과 마찬가지로, 이 취약점은 광범위한 코딩 결함을 포함하고 있는데, 이 취약점은 집합적으로 여러 측면에서 손상을 허용한다는 점에서 그 인기가 더욱 높아지고 있습니다.이 범주에는 사용자가 의도한 권한을 벗어난 행동을 할 수 있도록 액세스 제어 정책을 위반할 수 있는 모든 인스턴스가 포함됩니다.
OWASP가 취약성 제품군을 최상위 지점으로 끌어올리면서 인용한 깨진 액세스 제어의 예로는 공격자가 URL, 내부 애플리케이션 상태 또는 HTML 페이지의 일부를 수정할 수 있게 하는 경우가 있습니다.또한 사용자가 기본 액세스 키를 변경하여 애플리케이션, 사이트 또는 API가 자신이 다른 사람 (예: 상위 권한을 가진 관리자) 인 것으로 인식하도록 허용할 수도 있습니다.심지어 공격자가 메타데이터를 수정하지 못하도록 제한되지 않아 JSON 웹 토큰, 쿠키 또는 액세스 제어 토큰과 같은 항목을 변경할 수 있는 취약성도 포함되어 있습니다.
공격자는 일단 악용되면 이 취약성 계열의 취약점을 사용하여 다음과 같은 작업을 수행할 수 있습니다. 파일 또는 객체 우회 권한 부여를 통해 데이터를 도용하거나 데이터베이스 삭제와 같은 파괴적인 관리자 수준의 기능을 수행할 수 있습니다.이로 인해 액세스 제어가 중단되는 것은 매우 위험할 뿐만 아니라 점점 더 흔해지고 있습니다.
인증 및 액세스 제어 취약점이 공격자가 악용할 수 있는 가장 빈번한 기반이 되고 있다는 사실은 매우 매력적이지만 놀라운 일은 아닙니다.Verizon의 최신 소식 데이터 침해 조사 보고서 액세스 제어 문제는 거의 모든 산업, 특히 IT 및 의료 분야에서 널리 퍼져 있으며 전체 보안 침해 중 무려 85% 가 인적 요소와 관련된 것으로 나타났습니다.현재 “인적 요소”에는 피싱 공격과 같은 사고가 포함되는데, 이는 엔지니어링상의 문제는 아니지만 침해 중 3% 가 악용 가능한 취약점과 관련된 것이었으며, 보고서에 따르면 보안 구성 오류와 같이 주로 오래된 취약점과 인적 오류로 인한 것이었습니다.
XSS 및 SQL 인젝션과 같은 노후한 보안 버그가 계속해서 개발자의 마음을 사로잡는 가운데, 핵심 보안 설계가 실패하여 위협 행위자에게 매우 유리할 수 있는 아키텍처 취약점에 자리를 내주고 있다는 것이 분명해졌습니다. 특히 특정 애플리케이션 버전의 보안 결함이 공개된 후 패치를 적용하지 않는 경우 더욱 그렇습니다.
문제는 기본을 넘어서는 교육과 기술 개발을 받는 엔지니어가 거의 없으며, 애초에 일반적으로 개발자가 도입한 현지화된 코드 수준의 버그를 넘어서서 지식과 실제 적용을 진정으로 확장하는 엔지니어는 여전히 적다는 것입니다.
로봇이 거의 발견하지 못하는 버그 방지
새로 그룹화된 취약점 취약성 패밀리는 상당히 다양합니다.깨진 액세스 제어의 몇 가지 구체적인 예와 이를 방지하는 방법을 확인할 수 있습니다. 우리의 유튜브 채널 그리고 우리 블로그.
하지만 저는 이 새로운 OWASP Top 10을 기념하는 것이 중요하다고 생각합니다. 스캐너가 반드시 포착할 수 없는 공격 벡터를 포함하는 더 광범위한 공격 벡터를 포함하여 실제로 더 다양합니다.코드 수준의 약점이 발견될 때마다 아무리 자동화된 방패와 무기가 있더라도 대부분의 보안 기술 스택은 더 복잡한 구조적 결함을 알아차리지 못할 것입니다.OWASP Top 10 목록에서 가장 큰 비중을 차지하는 것은 여전히 스캐닝 데이터를 기반으로 작성되지만, 안전하지 않은 설계와 데이터 무결성 실패 등을 다루는 새로운 항목은 로봇이 할 수 없는 것을 달성하기 위해 개발자의 교육 범위를 빠르게 확장해야 한다는 것을 보여줍니다.
간단히 말해서 보안 스캐너는 훌륭한 위협 모델러가 되지는 않지만 보안 기술을 갖춘 개발자 팀은 모범 사례와 비즈니스 요구 사항에 따라 보안 IQ를 높여 AppSec 팀을 헤아릴 수 없을 정도로 도울 수 있습니다.OWASP Top 10은 훌륭한 기준이지만 위협 환경이 너무 빠르게 변화하기 때문에 (내부 개발 목표의 요구는 말할 것도 없고) 보안에 대한 개발자 기술 향상을 위해 더 심층적이고 구체적인 계획을 세워야 한다는 점을 염두에 두고 이를 훌륭한 보안 프로그램에 반영해야 합니다.그렇게 하지 않으면 필연적으로 조기 치료 기회를 놓치게 되며 예방적이고 인간 주도의 사이버 보안에 대한 성공적인 총체적 접근이 저해될 수밖에 없습니다.
우리는 2021년 OWASP 톱 10을 준비했습니다. 이는 시작에 불과합니다!개발자를 지금 바로 시작하세요 고급 보안 기술 경로 오늘.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
