3년을 주기로 배포하는 OWASP top 10 이 새로이 배포되었습니다.
해당 내용은 아래의 URL 에서 확인 하 실 수 있습니다.
https://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf
https://www.owasp.org/index.php/Top_10_2013-Main
https://www.owasp.org/index.php/Top_10_2013-T10
변화된 내용은 아래와 같습니다.
A6 Sensitive Data Exposure
A7 Missing Fuction Level Access Control
A8 Using Known Vulnerable Components
A6 Sensitive Data Exposure
2010-A7, 2010-A9의 내용이 2013-A6으로 합쳐지는 것으로 확인 할 수 있습니다.
내용을 확인해보면 2010-A7 Insecure Cryptographic Storage(안전하지 않은 암호화 저장) 2010-A9 Insufficient Transport Layer Protection (불충분한 전송계층 보호) 이 두부분을 통합하였다고 생각할 수 있습니다.
사용자의 민감한 정보(개인정보)는 최초 입력 시, 암호화 전송을 하여야합니다. 데이터 처리 및 암호화 저장 또한 기본적으로 server-side에서 이루어 져야 합니다.
A7 Missing Fuction Level Access Control
2010-A8 Failure to Restrict URL Access(URL 접근제한의 실패)를 2013-A7 Missing Function Level Access Control(단계적 접근 제한 기능 누락)로 확장되었습니다.
단순히 URL 접근제어 뿐만이 아닌, 모든 단계적(level) 접근 제한 기능을 내포하기 위해서 확장시켰다는 것을 확인 할 수 있습니다.
사용자의 식별 및 등급에 따른 기능의 구분이 존재할 경우, 사용자 접근 제어 또한 반드시 server-side에서 이루어 져야 합니다.
A9 Using Known Vulnerable Components
2010-A6 Security Misconfiguration (잘못된 보안 설정) 에서 기본적으로 내포하고 있었습니다. 하지만 component 기반 개발의 성장으로, 알려진 취약한 components 사용의(using known vulnerable components) 위험이 커짐으로써 하나의 카테고리로 만들어진 것을 확인할 수 있습니다.
component는 사용되어진 libray, apache 서버, iis 서버 혹은 freeware html 편집기등을 포함한 제공하는 서비스를 구성하는 모든 요소를 지칭합니다.
구성하는 component 들에 대한 최신 취약점과 패치를 항상 확인해야합니다.