OWASP Top 10은 OWASP(Open Worldwide Application Security Project)에서 발표하는, 가장 치명적인 웹 애플리케이션 보안 위험들을 정리한 널리 인정받는 목록입니다. 개발자가 방어해야 하는 일반적인 취약점을 이해하는 데 필수적인 인식(awareness) 자료입니다.
OWASP Top 10이란
가장 치명적인 웹 앱 보안 위험 TOP 10을 정기적으로 갱신하는 목록:
→ 실제 데이터와 전문가 합의에 기반
→ 표준 AWARENESS 문서 — 알고 예방해야 할 취약점의 기준선
→ 모든 것을 망라하지는 않지만, 가장 먼저 다뤄야 할 중요/흔한 위험들
카테고리 (최근 OWASP Top 10)
1. BROKEN ACCESS CONTROL → 사용자가 접근해선 안 되는 것에 접근(authorization 결함)
2. CRYPTOGRAPHIC FAILURES → 약하거나 누락된 encryption; 노출된 민감 데이터
3. INJECTION → SQL injection, command injection (신뢰할 수 없는 입력을 코드/쿼리로)
4. INSECURE DESIGN → 설계 자체의 보안 결함
5. SECURITY MISCONFIGURATION → 안전하지 않은 기본값, 노출된 설정, 장황한 오류
6. VULNERABLE/OUTDATED COMPONENTS → 알려진 취약점이 있는 라이브러리 사용
7. AUTHENTICATION FAILURES → 약한 인증, 손상된 session 관리
8. DATA INTEGRITY FAILURES → 안전하지 않은 역직렬화, 신뢰할 수 없는 업데이트(공급망)
9. LOGGING/MONITORING FAILURES → 공격을 탐지/대응할 수 없음
10. SSRF → server-side request forgery (서버가 속아 요청을 보냄)
