OWASP TOP 10

OWASP

(The Open Web Application Security Project)

오픈소스 웹 애플리케이션 보안 프로젝트이다.

주로 웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며,
10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표 했다.

OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 
10가지를 선정하여 2004년, 2007년, 2010년, 2013년, 2017년을 기준으로 발표되었다.

OWASP TOP 10 - 2013	→	OWASP TOP 10 - 2017
A1 - 인젝션	→	A1:2017 - 인젝션
A2 - 취약한 인증과 세션 관리	→	A2:2017 - 취약한 인증
A3 - 크로스 사이트 스크립팅 (XSS)	↘	A3:2017 - 민감한 데이터 노출
A4 - 안전하지 않은 직접 객체 참조	∪	A4:2017 - XML 외부 개체 (XXE)[신규]
A5 - 잘못된 보안 구성	↘	A5:2017 - 취약한 접근 통제 [A4 ∪ A7]
A6 - 민감한 데이터 노출	↗	A6:2017 - 잘못된 보안 구성
A7 - 기능 수준의 접근 통제 누락	∪	A7:2017 - 크로스 사이트 스크립팅 (XSS)
A8 - 크로스사이트 요청 변조	§	A8:2017 - 안전하지 않은 역직렬화 [신규, 커뮤니티]
A9 - 알려진 취약점이 있는 구성요소	→	A9:2017 - 알려진 취약점이 있는 구성요소 사용
A10 - 검증되지 않은 리다이렉트 및 포워드	§	A10:2017 - 불충분한 로깅 및 모니터링 [신규, 커뮤니티]