English | Join | Login | Contact us
CWE/SANS 25大 소프트웨어 오류 SANS배너
소개

2011년판 상위 25대 항목은 2010년 판을 업데이트 하면서 전 세계 20개가 넘는 다양한 조직에서 각 취약점에 대해 취약점 확산정도, 중요도 및 악용 가능성을 기준으로 평가한 의견을 토대로 CWSS(Common Weakness Scoring System)을 이용하여 우선순위가 정해졌습니다. 각 25개 취약점에는 취약점 확산 정도, 해킹 시 입게 될 피해 결과, 취약점 수정 비용, 탐지 용이성, 공격 빈도 및 취약점을 악용할 수 있는 공격자의 지식 수준까지 망라하고 있어 소프트웨어 개발자들 및 회사에서 손쉽게 이용할 수 있도록 구성하고 있습니다. 그리고 각 취약점 별로 설계 및 구현단계에서 취약점 제거할 수 있는 상세한 설명까지 포함되어 있습니다.

변경사항

2011년 판에서도 OWASP 탑 10 목록과 유사하게 SQL 인젝션과 운영체제 명령어 인젝션이 각각 93.8 및 83.3으로 제일 취약성이 높으며, 이 취약점은 발견된 지 10년이 넘었지만 여전히 가장 많이 공격에 활용되고 위험도가 높은 것으로 나타났습니다. 그리고 2011년 판에서 아래 4개의 취약점이 새롭게 포함되었습니다.

[11] 73.1 CWE-250 불필요한 권한으로 실행하는 것
[18] 64.6 CWE-676 잠재적으로 위험한 함수를 사용하는 것
[23] 61.0 CWE-134 형식 문자열(Format String)을 통제하지 않는 것
[25] 59.9 CWE-759 솔트(salt) 없이 일방향 해쉬를 사용하는 것

25대 소프트웨어 오류 요약표
순위 점수 ID 설명
[1] 93.8 CWE-89 SQL 명령에 사용된 특별한 엘리먼트를 무효화 하지 않는 것('SQL 인젝션')
[2] 83.3 CWE-78 운영체제(OS) 명령에 사용된 특별한 엘리먼트를 무효화 하지 않는 것 ('OS 명령어 인젝션')
[3] 79 CWE-120 입력의 크기를 확인하지 않고 버퍼 복사하는 것 ('전통적인 버퍼 오버플로우')
[4] 77.7 CWE-79 웹 페이지 생성 도중 입력 값을 무효화하지 않는 것 ('XSS(크로스 사이트 스크립팅)')
[5] 76.9 CWE-306 핵심 기능에 대해서 인증을 누락하는 것
[6] 76.8 CWE-79 인가 기능을 누락하는 것
[7] 75.0 CWE-79 인증 데이터를 코드에 직접 기록하는 것
[8] 75.0 CWE-311 민감한 데이터에 암호화 누락하는 것
[9] 74.0 CWE-434 위험한 유형의 파일 업로드를 제한하지 않는 것
[10] 73.8 CWE-807 신뢰할 수 없는 입력 정보에 의존하여 보안성 결정하는 것
[11] 73.1 CWE-250 불필요한 권한으로 실행하는 것 (2011년에 새로 포함)
[12] 70.1 CWE-352 사이트 간 요청 위조(CSRF :Cross-Site Request Forgery)
[13] 69.3 CWE-22 금지된 디렉토리에 접근을 제한하지 않는 것('경로 추적')
[14] 68.5 CWE-494 무결성 검사 없이 코드 다운로드하는 것
[15] 67.8 CWE-863 올바르지 않은 인가
[16] 66.0 CWE-829 신뢰할 수 없는 제어영역에서 온 기능을 포함하는 것
[17] 65.5 CWE-732 중요한 자원에 잘못된 권한을 할당하는 것
[18] 64.6 CWE-676 잠재적으로 위험한 함수를 사용하는 것 (2011년에 새로 포함)
[19] 64.1 CWE-327 해독되었거나 위험한 암호화 알고리즘 사용하는 것
[20] 62.4 CWE-131 버퍼 크기 잘못 계산하는 것
[21] 61.5 CWE-307 과도한 인증 시도를 제한하지 않는 것
[22] 61.1 CWE-601 신뢰할 수 없는 사이트로 URL 접속지 변경하는 것('개방적인 리다이렉트')
[23] 61.0 CWE-134 형식 문자열(Format String)을 통제하지 않는 것 (2011년에 새로 포함)
[24] 60.3 CWE-190 정수 오버플로우 또는 랩어라운드 (Integer Overflow or Wraparound)
[25] 59.9 CWE-759 솔트(salt) 없이 일방향 해쉬를 사용하는 것 (2011년에 새로 포함)
"CWE/SANS 가장 위험한 25大 소프트웨어 오류" 다운로드
공유하기
최근 트위터 @ITLKorea
사이버보안 표준자료
CWE/SANS 가장 위험한 25大 소프트웨어 오류
효과적인 사이버 방어를 위한 20개 핵심 통제항목
자동차ISAC 사이버보안 모범사례
NICE 프레임워크
포켓 참고가이드
벤더
스폰서쉽
파트너쉽
연락처
전화 : 031)717-1447
월 - 금 : 09:30AM - 17:30PM
이메일 : itl@itlkorea.kr
채용정보>>
공인강사지원>>
| 개인정보 취급 방침 | 통신판매업신고번호 : 제2010-경기성남-0367호 | ⓒ2011 - 2017 ITL Secure Institute, All Rights Reserved.
본 사이트에 게재되어 있는 회사명, 단체명, 제품명은 각 회사 및 단체의 등록상표입니다.