Part 6 : OWASP 2017 TOP 10 RC2 A6 - 잘못된 보안 설정[Security Misconfiguration]

 

A6 : 잘못된 보안 설정[Security Misconfiguration]

 

* 정의

바람직한 보안은 어플리케이션, 프레임워크, WAS, 웹 서버, DB서버 플랫폼에 대해 정의되고 적용되어 있습니다. 보안 기본 설정은 대부분 안전하지 않기 때문에 정의, 구현 및 유지 되어야 합니다. 또한 소프트웨어는 최신 버전으로 관리해야 합니다.

-> 접근권한을 지정하지 않아 인증되지 않은 사용자도 게시물을 수정하거나 삭제할 수가 있는 상태입니다.

 

---

 

* 대응방법

1. 불필요한 파일을 관리해야 합니다.

2. 디렉토리 권한을 설정해야 합니다.

3. 최소한의 사용자 계정을 사용해야 합니다.

4. 운영체제, 웹/앱 서버, DBMS, 코드 라이브러리들의 소프트웨어 보안을 업데이트해야 합니다. 그렇지 않다면, 보안 위협이 생기지 않도록 구성해야 합니다.

 

 

 

---

 

* 실제 사례

 

[연합뉴스] 안드로이드폰 100만대 악성소프트웨어 감염…"구버전 보안취약" 2016/12/01 15:03 악성트로이목마 소프트웨어 '굴리건(Gooligan)' 하루 1만3천 대꼴 감염   업데이트하지 않은 안드로이드 4·5버전 기기에 광고 소프트웨어 설치. 100만대 넘는 안드로이드 기기가 악성 소프트웨어에 감염됐다고 월스트리트저널(WSJ)이 보안회사 체크포인트를 인용해 지난달 30일(현지시간) 보도했다. 운영체제를 업데이트하지 않고 보안에 취약한 상태로 내버려두는 것은 문제라고 WSJ은 전했다. 그는 안드로이드 운영체제의 업데이트가 잘 이뤄지지 않는 것은 심각한 문제라고 지적했다. 이어 광범위한 소프트웨어 업데이트를 할 수 있는 단일 주체가 없고 소프트웨어 업데이트에 대한 통제가 이용자와 통신업체, 스마트폰 제조사 등에 제각각 있다고 설명했다.   출처:http://www.yonhapnews.co.kr/bulletin/2016/12/01/0200000000AKR20161201127600009.HTML

 

그럼 Part 7으로 넘어갑니당 ~