OWASP는 소프트웨어의 보안을 개선하기 위한 업무를 수행하는 비영리 재단입니다.
OWASP(Open Worldwide Application Security Project, OWASP)는 조직이 신뢰할 수 있는 안전한 애플리케이션을 위한 소프트웨어를 설계, 개발, 인수, 운영, 유지 관리할 수 있도록 지원하는 개방형 커뮤니티입니다. OWASP 프로그램에는 커뮤니티 주도 오픈 소스 소프트웨어 프로젝트와 지역 및 글로벌 컨퍼런스가 포함되며, 전 세계 수백 개의 지부와 수만 명의 회원이 참여합니다.
OWASP는 웹 애플리케이션 보안 위험에 대한 인식을 제고하는 데 중요한 역할을 하며, 웹 애플리케이션 보안의 증가하는 당면 과제를 해결하는 데 유용한 리소스, 도구, 문서, 모범 사례를 제공합니다. 개발자, 보안 전문가, 조직은 OWASP를 통해 잠재적인 위협을 이해하고 보안 모범 사례를 도입할 수 있습니다.
OWASP는 가장 중요한 10가지 웹 애플리케이션 보안 위험과 이를 완화하기 위한 효과적인 프로세스, 절차, 제어 목록을 관리합니다. 또한 API 개발 및 유지 관리 담당자들을 교육하고 API 보안 약점에 대한 인식을 높이기 위해 OWASP Top 10 API 보안 취약점 목록도 제공합니다.
OWASP 커뮤니티는 개인과 조직이 커뮤니티의 프로젝트와 리소스에 기여하도록 장려합니다. 이러한 협업과 설문조사에 기반한 접근 방식을 통해 커뮤니티는 회원들의 집단 지성과 전문성을 활용하여 포괄적인 최신 정보를 제공합니다.
보안 솔루션을 구현할 때 고려해야 할 앱과 API 모두에 공통적인 보안 위험이 있으며, 그 예는 다음과 같습니다.
OWASP Top 10 목록에 특정 위험이 포함되어 있다고 해서 모든 웹 애플리케이션에서 해당 위험의 확산이나 심각성이 있음을 의미하지는 않으며, Top 10 목록은 특정 순서 또는 우선 순위에 따라 순위가 매겨지지 않습니다.
OWASP Top 10 목록에 특정 위험이 포함되어 있다고 해서 모든 웹 애플리케이션에서 해당 위험의 확산이나 심각성이 있음을 의미하지는 않으며, Top 10 목록은 특정 순서 또는 우선 순위에 따라 순위가 매겨지지 않습니다.
2021년 OWASP Top 10 웹 애플리케이션 보안 위험은 다음과 같습니다.
인젝션 공격. 인젝션 결함은 공격자가 신뢰할 수 없거나 적대적인 데이터를 명령 또는 쿼리 언어에 삽입하거나 애플리케이션이 사용자가 제공한 데이터에 대해 유효성 검사, 필터링 또는 검사를 실시하지 않아 의도하지 않게 악성 명령이 실행될 때 발생합니다. 이 공격의 범주에는 NoSQL, OS 명령, LDAP, SQL 인젝션 공격이 포함되며 다른 사용자가 보는 웹 페이지에 JavaScript와 같은 악의적인 클라이언트 측 스크립트를 주입하는 크로스 사이트 스크립팅(XSS)도 포함됩니다. 이로 인해 로그인 자격 증명, 개인정보 또는 세션 쿠키와 같은 민감한 정보가 도용될 수 있습니다. WAF는 반영(비영구), 저장(영구), 문서 객체 모듈(DOM-) 기반 XSS 등의 수신되는 요청을 검사하고 필터링하여 악성 코드 주입 시도를 탐지하고 차단하여 애플리케이션에 도달하지 못하도록 합니다.
2021 OWASP Top 10은 이전 2017 OWASP Top 10의 새로운 카테고리 및 명칭 변경 사항을 반영합니다. 이러한 변경 사항에는 2017 위험 위협 XML 외부 엔터티 (XXE)를 2021 보안 구성 오류(Security Misconfiguration) 카테고리에 통합하고 2017 크로스 사이트 스크립팅(XSS)을 2021 인젝션 카테고리에 추가하는 것이 포함됩니다. 2017 위험인 안전하지 않은 역직렬화(Insecure Deserialization)는 이제 2021 소프트웨어 및 데이터 무결성 문제(Software and Data Integrity Failures) 카테고리에 속합니다.
OWASP는 현재 OWASP 및 애플리케이션 보안 전반에 전략적 가치를 제공하는 다음과 같은 16개의 OWASP Flagship 프로젝트를 포함하여 293개의 프로젝트를 후원하고 있습니다.
OWASP는 웹 애플리케이션 보안 위험에 대한 인식을 높이고 개발자, 보안 전문가, 조직의 모범 사례를 옹호함으로써 소프트웨어 보안을 개선하기 위한 지속적인 노력에서 중요한 역할을 합니다. OWASP는 커뮤니티 중심 프로젝트로서 전문가와 애호가들이 모여 웹 애플리케이션 보안 강화를 위해 협력하여 안전한 코딩 관행과 안전한 개발 방법론을 촉진하는 보안을 중시하는 문화를 조성하는 데 도움을 줍니다.
또한 OWASP는 OWASP Top 10, OWASP API Security Top 10, Automated Threats to Web Applications Project를 포함하여 조직이 보안 태세를 강화할 수 있도록 지원하는 다양한 무료 오픈 소스 도구, 문서, 리소스를 제공합니다. 기타 OWASP 이니셔티브는 다음과 같습니다.
F5는 OWASP Foundation과 소프트웨어 보안을 강화하고 웹 애플리케이션 보안 위험 및 취약성에 대한 인식을 제고하기 위한 재단의 노력을 지원합니다. F5 WAF(웹방화벽) 솔루션은 OWASP Top 10에 속하는 다양한 위험을 차단하고 완화합니다.
또한 F5는 앱이 진화하고 API 배포가 증가함에 따라 확대하는 공격 표면과 새로운 위협을 차단하는 솔루션을 통해 OWASP API 보안 Top 10에 명시된 위험을 해결합니다. F5 Web Application and API Protection(WAAP) 솔루션은 WAF,
API 보안, L3-L7 DDoS 완화, 자동화된 위협 및 사기에 대한 봇 방어를 포함한 포괄적인 보호 기능을 통해 최신 앱 공격 표면 전체를 방어합니다. 분산 플랫폼을 사용하면 호스팅 위치에 관계없이 앱과 API 전체에 일관된 정책을 배포하고 보안을 확장하며 API 수명 주기 및 광범위한 생태계에 보안을 통합할 수 있습니다.
F5 WAF 솔루션은 F5 Labs의 위협 인텔리전스 및 머신러닝 기반 보안을 포함한 시그니처 및 행동 보호를 결합하여 새로운 위협에 맞섭니다. 중앙 집중식 SaaS 인프라를 통해 관리를 간소화하면서 클라우드, 온프레미스, 엣지 환경에 걸쳐 애플리케이션을 일관되게 보호해야 하는 부담과 복잡성을 완화합니다. 또한 F5 WAF는 분산된 여러 애플리케이션에 걸쳐 앱 성능 및 보안 이벤트를 전방위로 볼 수 있는 단일 대시보드를 통한 핵심 보안 기능, 중앙 집중식 오케스트레이션, 감독을 통해 보호 기능을 개발 프레임워크 및 CI/CD 파이프라인에 통합하여 앱 보안을 간소화합니다.
또한 F5는 앱이 진화하고 API 배포가 증가함에 따라 확대하는 공격 표면과 새로운 위협을 차단하는 솔루션을 통해 OWASP API 보안 Top 10에 명시된 위험을 해결합니다. F5 Web Application and API Protection(WAAP) 솔루션은 WAF, API 보안, L3-L7 DDoS 완화, 자동화된 위협 및 사기에 대한 봇 방어를 포함한 포괄적인 보호 기능을 통해 최신 앱 공격 표면 전체를 방어합니다. 분산 플랫폼을 사용하면 호스팅 위치에 관계없이 앱과 API 전체에 일관된 정책을 배포하고 보안을 확장하며 API 수명 주기 및 광범위한 생태계에 보안을 통합할 수 있습니다.
F5는 또한 OWASP의 Automated Threats to Web Applications Project에 명시된 위험을 해결하기 위한 솔루션을 제공합니다. F5 Distributed Cloud Bot Defense는 기존 봇 관리 솔루션을 우회할 수 있는 사기 및 남용을 방지하고 실시간 모니터링 및 인텔리전스뿐만 아니라 ML 기반 소급 분석을 제공하여 사용자 불편을 더하거나 고객 경험을 방해하지 않고 자동화된 공격으로부터 조직을 보호합니다. Distributed Cloud Bot Defense는 공격자가 어떻게 리툴링하는지, 공격이 웹 앱에서 API로 피벗되는지 아니면 텔레메트리를 스푸핑하거나 인간 CAPTCHA 솔버를 사용하여 반자동화 방어 우회를 시도하는지에 관계없이 효율성을 유지합니다.
F5는 또한 대규모 네트워크, 프로토콜, 애플리케이션 대상 공격을 실시간으로 탐지하고 완화하는 관리형 클라우드 제공 완화 서비스로서 첨단 온라인 보안을 위한 다중 계층 DDoS 보호 기능을 제공합니다. 온프레미스 하드웨어, 소프트웨어, 하이브리드 솔루션과 동일한 보호 기능을 사용할 수 있습니다. F5 Distributed Cloud DDoS Mitigation은 볼륨 및 애플리케이션별 레이어 3-4 및 고급 레이어 7 공격이 네트워크 인프라 및 애플리케이션에 도달하기 전에 차단합니다.
웨비나-owasp-top10-risk-order