[WebSec] 웹 취약점 리스트

OWASP

 

OWASP Top 10:2021

OWASP Top 10 List

OWASP Testing Guide

 

Information Gathering	테스트 대상 애플리케이션 및 인프라에 대한 정보(기술 스택, 엔드포인트, 사용자 등)를 수집하여 공격 범위를 결정합니다.
Configuration and Deployment Management Testing	웹 서버, 프레임워크, 라이브러리 등이 안전하게 설정되어 있는지, 그리고 불필요한 기능이나 정보가 노출되지 않는지 확인합니다.
Identity Management Testing	사용자 계정 등록, 비밀번호 복구, 사용자 이름 열거 방지 등 신원 확인 및 계정 관리 절차의 보안성을 점검합니다.
Authentication Testing	로그인 기능, 다중 요소 인증(MFA) 등 사용자가 누구인지 증명하는 과정에 취약점이 없는지 테스트합니다.
Authorization Testing	로그인된 사용자가 본인이 접근할 권한이 없는 다른 사용자나 관리자 권한의 리소스에 접근할 수 있는지 확인합니다.
Session Management Testing	세션 생성, 유지(쿠키), 종료 과정이 안전하게 이루어지고 있는지, 세션 ID 탈취 및 하이재킹 가능성을 점검합니다.
Input Validation Testing	사용자의 모든 입력값이 서버에서 예상하는 형식과 길이로 올바르게 검증되고 있는지 (인젝션 공격 방어) 확인합니다.
Testing for Error Handling	애플리케이션이 예상치 못한 오류 발생 시 사용자에게 **민감한 시스템 정보(스택 트레이스 등)**를 노출하지 않고 안전하게 처리하는지 점검합니다.
Testing for Weak Cryptography	데이터 전송 및 저장 시 사용되는 암호화 알고리즘(예: 비밀번호 해시, SSL/TLS 설정)이 취약하지 않고 안전하게 구현되었는지 확인합니다.
Business Logic Testing	애플리케이션의 핵심 비즈니스 프로세스 (예: 장바구니 가격 조작, 워크플로우 우회)를 공격자가 악용할 수 있는지 테스트합니다.
Client-side Testing	웹 브라우저 단에서 실행되는 코드(JavaScript, CSS)의 보안성 (예: XSS 공격 방어), DOM 조작, 로컬 저장소 사용 등을 점검합니다.