2024년 1월 정보보안 스터디 02. 2차시

국제 웹 보안 표준기구가 발표한 10대 웹 취약성 10위

https://apisecurity.io/owasp-api-security-top-10/

OWASP API Security Top 10 Vulnerabilities: 2023 - API Security News

 

1위: Broken Object Level Authorization

2위: Broken Authorization

3위: Broken Object Property Level Authorization

4위: Unrestricted Resources Consumption

5위: Broken Function Level Authorization

6위: Unresticted Access to Sensitive Business Flows

7위: Server Side Request Forgery

8위: Security Misconfiguration

9위: Improper Inventory Management

10위: Unsafe Consumption of APIs

 

SQL과 Injection 공격

SQL

- RDBMS 데이터 관리 위한 프로그래밍 언어

- DDL(SELECT, UPDATE, DELETE, INSERT), DML(CREATE DATABASE, ALTER DATABASE, CREATE TABLE, ALTER TABLE, DROP TABLE, CREATE INDEX, DROP INDEX)로 구분한다.

Injection 공격

- WAS와 DB가 연동되는 부분에 공격자가 임의의 SQL 명령어를 삽입하여 공격하는 패턴을 의미한다.

 

XPath 삽입 공격

- XPath는 xml 문서를 활용하기 위해 만들어진 언어, 노드라는 요소를 가지고 있다.

- 공격하는 방법은 SQL Injection과 유사하다.

 

CSRF 공격

- 피해자로 하여금 특정 사이트에 강제적으로 요청을 보내게 하는 것을 의미