2010.07.28 09:05 Etc../잡담

작년 11월쯤에 RC 버전이 나와있었는데


지난 19일에 OWASP Top 10 2010  영문판이 정식으로 release 되었습니다




다음 링크를 보시면 PDF 파일을 받아보실 수가 있어요~

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

다음은 2007 에서 2010년까지의 OWASP 변화점입니다



**7.28 한글화 문서가 나왔더군요

출처는 SecurityPlus 입니다

http://www.securityplus.or.kr/xe/?document_srl=25853






Injection 과 XSS는 항상 1,2위를 가지고 왔다 갔다 하고 있네요

기존에 3위였던 악성 파일 실행은 빠졌네요

3위였던게 3년뒤에 그새  빠진걸 보면 정말 웹은 그 해 트렌드를 많이 타는거 같은데

기존에 있던 취약점이 한순간에 고쳐지지는 않아서 순위만 좀 변동 되지 아주 물갈이 되지는 않군요

이번에 추가된

A6. Security Misconfiguration 은 모든 웹 서비스 관련된 컴포넌트와 라이브러리의 보안 패치 관리,

불필요한 것에 대한 삭제와 비활성화, 디폴트 계정 변경과 비활성  등을 말한다는군요

A10 . Unvalidated Redirects and Forwards 는 모든 코드상에서의 리다이렉션과 포워드 사용시

허용된 방향과 컨텐츠 요소를 포함하는지, HTTP 응답 코드 300 - 307 사이의 응답에 있어 제공된 파라미터가

적절한지 여부와 정의대로 URL 리다이렉션과 포워딩이 이루어지고 있는 지를 확인하는 것이라고 하는군요






우리나라 보안업계에서 일하시는 분들은 OWASP 를 싫어하는 분들이 많더군요

아, OWASP를 싫어하는게 아니라  OWASP를 절대적 기준으로 삼고 있는 분들을 싫어하는 거겠죠

다음은 Bug Truck 의 Matt Oh 님의 말씀입니다 [ 잘 꼬집어주시고 있다고 생각하셔서 퍼왔는데 , 문제가 있다면 삭제하겠습니다 ]



미국
          현실 -> 문서나 표준화
 
한국
         미국에서 받아온 문서나 표준화 -> 현실
 
이런식으로 적용되죠.
 
 
미국에서는 귀납식이 한국에서는 연역식이 적용됩니다.
 
예를 들어
 
미국
       스티브잡스가 태어나서 성장 과정을 거치고 애플 만들고 어찌 저찌 해서 아이폰, 아이패드도 만들어 냄
 
한국
       아이폰, 아이패드 대단한데 우리 나라 이거 왜 못 만들지 빨리 스티브 잡스 만들어 내
 
 
미국 잘 보면 철저히 경험 주의에 입각한 귀납식 IT가 적용되고 있는데 말이죠. 미국 -> 한국의 1:1 대응을 해 주려다 보면 참 골 아파지는 것 같아요.


구구 절절 맞는 소리가 아닐 수 없네요

물론 보안을 점검하는 기준이 있다는건 좋은 것이지만 말입니다 , 우리나라의 경우엔 정형화 느낌이 강하달까요

... 아무튼 제 생각은 이런데 다른 분들은 또 어떻게 생각할 지 모르겠네요
Posted by LinkC

블로그 이미지
LinkC

태그목록

Tistory Cumulus Flash tag cloud by BLUEnLIVE requires Flash Player 9 or better.

공지사항

Yesterday49
Today14
Total323,948

달력

 « |  » 2018.12
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          

최근에 받은 트랙백

글 보관함


. .