OWASP Top 10 2017 (영문, 한글)과 이에 따른 고려사항

변경된 내용

1. 2013년의 A8. 크로스 사이트 요청 변조(CSRF)와 A10. 검증되지 않은 리다이렉트 및 포워드 삭제

2. A4. XML 외부 개체(XXE), A8. 안전하지 않은 역직렬화, A10. 불충분한 로깅 및 모니터링 추가

고려해야 할 사항

1. 새로 업데이트된 OWASP Top 10에 따라, 기존 운영 중인 애플리케이션에 대한 취약점 점검 및 진단이 충분한지 확인이 필요합니다.

   소스코드 검증(WhiteBox Test) 및 취약점 스캐닝(BlackBox Test)을 보안소프트웨어 개발 생명주기(SSDL, Secure Software Development Lifecycle)에

   맞춰 적절히 활용해야 합니다. 또한, 웹 보안 진단 전문가에 의한 검토, 우선 순위의 선택과 대응이 필요합니다.

지에스인포에서는 운영 중인 애플리케이션에 대한 취약점을 진단하고, 제거될 수 있도록 소스코드 취약점 진단 컨설팅과, 웹 취약점 진단 컨설팅을

진행하고 있습니다. 전문적인 정보보안 전문가와 CC인증을 받은 취약점 진단 도구로 안전한 애플리케이션을 운용할 수 있도록 도와드립니다.

※ http://gsinfo.kr/xe/Consulting 지에스인포에서 제공하는 정보보안 컨설팅

2. A.10. 불충분한 로깅 및 모니터링 추가 항목에 따라 웹 트랜젝션에 관련된 다양한 로그들이 SIEM과 같은 솔루션 내에서 통합 수집 및 분석되고

   보안 사고 대응 체계 안에포함시켜야 합니다.

지에스인포에서는 운영 중인 웹 페이지에 대한 공격을 탐지, 차단하고 이에 대한 로그를 수집 및 분석 할 수 있는 웹 방화벽을 제공하고 있습니다.

정보보안 전문업체인 트리니티소프트의 웹스레이(Webs-Ray)를 이용해 외부로부터의 공격을 방어하고, 전문적인 엔지니어에 의해 적절한 필터링을 구성하여

효율적이며 안전한 웹 애플리케이션을 운용할 수 있도록 도와드립니다.

※ https://blog.naver.com/PostList.nhn?blogId=gs_info&from=postList&categoryNo=13 지에스인포에서 제공하는 웹방화벽(트리니티소프트, 웹스레이)

OWASP Top 10 취약점에 대한 설명은 지에스인포 네이버 블로그에서 확인 가능합니다.

※ https://blog.naver.com/gs_info/221163791680 지에스인포 네이버 블로그 : OWASP Top 10 2017, 어떤사항을 준비해야 할까?