OWASP에서 발표한 보안위협 Top 10..그리고 CloudV

| 2017년 8월 31일 | 0 Comments

OWASP (The Open Web Application Security Project)

OWASP 는 국제 웹 보안 표준기구로 상업적 목적과 관계없이 웹 어플리케이션 취약점에 대한 효율적인 정보를

제공하고 있는 비영리 재단입니다.

제공되는 정보는 컨설팅회사 및 보안전문 업체등을 통해 웹에 관한 정보노출, 악성코드 및 보안 취약점등을

연구하고 분석하여 보안취약점에 대해 발표하고 있습니다.

OWASP는 지난 2010년과  2013년 Top 10  발표 이후 2017년 Top 10 을 발표하였습니다.

보통 3년 주기로 발표하는걸로 알고 있는데 이번 발표는 4년 걸렸네요…

대략 3,4년 주기로 발표한다고 보면 될 듯 합니다.

자세한 정보는 [ https://www.owasp.org ] 에서 확인하시면 됩니다.

 

2017 OWASP Top 10 에 발표된 보안 취약점은 다음과 같습니다.

  • A1 Injection [ 인젝션 ]
    ( SQL, OS, XXE, LDAP 인젝션 취약점등 )
  • A2 Broken Authentication and Session Management [인증 및 세션관리 ]
  • A3 Cross-Site Scripting (XSS) [크로스 사이트스크립팅]
  • A4 Broken Access Control (As it was in 2004) [ 취약한 접근제어 ]
  • A5 Security Misconfiguration [ 보안설정 오류 ]
  • A6 Sensitive Data Exposure [ 민감한 데이터 노출 ]
  • A7 Insufficient Attack Protection (NEW) [ 공격방어 취약점 ]
  • A8 Cross-Site Request Forgery (CSRF) [ 크로스사이트 요청 변조 ]
  • A9 Using Components with Known Vulnerabilities [ 알려진 취약점 있는 컴포넌트 사용 ]
  • A10 Underprotected APIs (NEW) [ 취약한 API ]

 

그럼 여기서!!

스마일서브의 모든 고객은 3단계로 구성된 시큐리티 솔루션을 기본으로 제공받을 수 있습니다.

3단계로 구성된 시큐리티 솔루션은 OWASP 10대 취약점을 자동으로 스캔하며 대응

합니다.

스마일서브에서 자체 개발한 엘캡(ELCAP) 방화벽은 네트워크 상단에 설치되어 서버 포트에 대한 유입과 유출 모두를

차단하고, DDoS공격을 막는 역할을 수행합니다.

트래픽은 패킷량과 트래픽량으로 나누어 실시간 사용량을 그래프로 제공해 드리며,

스푸핑(침입이나 공격을 목적으로 하여 데이터를 위조하는 것)이나 임계점 이상 넘어가는 이상 트래픽으로 발생되는

침입에 대해 모니터링 하고 있습니다.

또한 서버 내부 시스템의 취약점을 스캔하여 취약점에 대한 리포트를 제공하고, 웹스캐너(Acunetix)를 통해

웹 어플리케이션 접근에 의한 취약점과 OWASP 10대 취약점을 자동으로 스캔하며 이에 대한 공격을 탐지 합니다.

참조 : https://www.cloudv.kr/rew1/sec/sec_main.html

 

스마일서브 CloudV & IWINV 의  안전한 서비스의 제공을 위한 노력은 계속됩니다.

서버&코로케이션 전문 CloudV [ 바로가기 ]  &  클라우드 전용 IWINV [ 바로가기 ]

Category: 보안

About the Author ()