본문 바로가기
다양한 TIP

OWASP Top 10 2021버전이 나왔습니다.(DRAFT FOR PEER REVIEW)

by 유기농프로그래밍 2021. 9. 14.
반응형

아직 초안이긴한데 일단 2021년 OWASP Top 10이 나왔습니다.

그 전에 나온게 2017년 그 전은 2013년도인데요.

4년마다 나오는군요.

한번 살펴보도록 하겠습니다.

출처 : OWASP

총 3가지가 새로 생겼네요.

A04:2021-Insecure Design

A08:2021-Software and Data Integrity Failures

A10:2021-Server-Side Request Forgery

 

각각 내용을 살펴볼까요?

A04:2021-Insecure Design is a new category for 2021, with a focus on risks related to design flaws.

If we genuinely want to "move left" as an industry, it calls for more use of threat modeling, secure design patterns and principles, and reference architectures.

디자인의 설계 결함과 관련된 위험에 초점을 맞춘 취약점들이겠군요.

 

A08:2021-Software and Data Integrity Failures is a new category for 2021, focusing on making assumptions related to software updates, critical data, and CI/CD pipelines without verifying integrity. 

One of the highest weighted impacts from CVE/CVSS data mapped to the 10 CWEs in this category.

Insecure Deserialization from 2017 is now a part of this larger category.

이 내용을 보면 기존의 2017 Insecure Deserialization 보다 큰 범주의 내용이라고 보여집니다.

무결성 검증 없이 소프트웨어를 업데이트하는 식의 내용에 초점을 맞춘듯합니다.

 

A10:2021-Server-Side Request Forgery is added from the industry survey (#1).

The data shows a relatively low incidence rate with above average testing coverage, along with above-average ratings for Exploit and Impact potential.

This category represents the scenario where the industry professionals are telling us this is important, even though it's not illustrated in the data at this time.

서버측 요청 위조를 추가시켰는데요.

전문가들이 중요하다고 말한 부분인것 같습니다.

 

 

반응형

댓글