OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트이다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점을 발표했다.

그동안 3년 주기(2004, 2007, 2010, 2013)로 나왔던 OWASP Top 10이 올해는 1년 더 늦춰서 2017로 나왔습니다. 아직 정식 한글 번역본은 나오지 않았으나 구글링하여 정식은 아니지만 번역이 되어있는 버전의 문서를 찾았습니다. 문서의 경우 정식 번역본이 나오게 되면 다시 업로드를 하도록 하겠습니다.

(출처-http://www.certit.kr/?p=1459)

1. 2013과 다른점

우선 2013의 A4(취약한 직접 개체 참조), A7(기능 수준의 접근통제 누락)이 2017에서 A4(취약한 접근제어)항목으로 통합되었습니다. 그리고 A7(공격 방어 취약점), A10(취약한 API)가 추가되었습니다.

정보보안기사, 산업기사에도 앞으로 시험문제로 출제될 것으로 예상되며, 취업시 면접에서도 꼭 물어보는 사항 중에 하나이기 때문에 숙지하시면 될 것 같습니다.

쿠키(Cookie)란 인터넷 사용자가 어떠한 웹 사이트를 방문할 경우 그 사이트가 사용하고 있는 서버를 통해 인터넷 사용자의 컴퓨터에 설치되는 작은 기록 정보 파일이다. 쿠키에 담김 정보는 인터넷 사용자가 같은 웹사이트를 방문할 때마다 읽히고 수시로 새로운 정보로 바뀐다. 쿠키는 S/W가 아니다. 그래서 컴퓨터 내에서 프로그램처럼 실행될 수 없으며 바이러스를 옮길 수도, 악성코드를 설치할 수도 없다. 하지만 스파이웨어를 통해 유저의 브라우징 행동을 추적하는데에 사용될 수 있고, 누군가의 쿠키를 훔쳐서 해당 사용자의 웹 계정 접근권한을 획득할 수도 있다.

1. 서버와 클라이언트 간 쿠키의 흐름

2. 쿠키 종류

- Session Cookie : 보통 만료시간(Expire date) 설정하고 메모리에만 저장되며 브라우저 종료 시 쿠키를 삭제한다.

- Persistent Cookie : 장기간 유지되는 쿠키파일로 저장되어 브라우저 종료와 관계없이 사용한다.

- Secure Cookie : HTTPS에서만 사용, 쿠키 정보가 암호화되어 전송한다.

- Third-Party Cookie : 방문한 도메인과 다른 도메인의 쿠키, 광고 배너 등을 관리할 때 유입 경로를 추적하기 위해 사용한다.

3. 쿠키 단점

- 쿠키에 대한 정보를 매 헤더에 추가하여 보내기 때문에 상당한 트래픽을 발생시킨다.

- 결제 정보 등을 쿠키에 저장하였을 때 쿠키가 유출되면 보안에 대한 문제점도 발생할 수 있다.

4. 웹 브라우저 별 쿠키 경로