2011 CWE/SANS 가장 위험한 25大 소프트웨어 오류

문서 버전: 1.0.2
날짜: 2011년 6월 29일

프로젝트 코디네이터: Bob Martin (MITRE), Mason Brown (SANS), Alan Paller (SANS), Dennis Kirby (SANS)

문서 편집자: Steve Christey (MITRE)
 문서 번역자:  SANS 코리아(sans@sans.or.kr)  http://www.itlkorea.kr

[Contents]

  ● 상위 25대 오류 목록 사용 안내

  ● 상위 25대 오류 요약 목록

  ● 상위 25대 오류 분류유형

  ● 상위 25대 오류 목록의 구성

  ● CWE에 대한 상세 설명

  ● 주요 완화 방법 (Monster Mitigations)

  ● 부록 A: 선정 기준 및 추가 정보란

  ● 부록 B: 2011년도 상위 25대 오류 목록의 바뀐 점

  ● 부록 C: 상위 25대 오류의 구성, 선정 및 점수

  ● 부록 D: OWASP의 2010년도 상위 10대 목록과의 비교

  ● 부록 E: 상위 25대 오류 목록 작성에 사용된 기타 참고자료

  ● 문서 변경 내역

 

---

순위 점수      ID      이름

[1]  93.8  CWE-89  SQL 명령에 사용된 특별한 엘리먼트를 무효화 하지 않는 것 ('SQL 인젝션')

[2]  83.3  CWE-78  운영체제(OS) 명령에 사용된 특별한 엘리먼트를 무효화 하지 않는 것 ('OS 명령어 인젝션')

[3]  79.0  CWE-120  입력의 크기를 확인하지 않고 버퍼 복사하는 것 ('전통적인 버퍼 오버플로우')

[4]  77.7  CWE-79  웹 페이지 생성 도중 입력 값을 무효화하지 않는 것 ('XSS(크로스 사이트 스크립팅)')

[5]  76.9  CWE-306  핵심 기능에 대해서 인증을 누락하는 것

[6]  76.8  CWE-862  인가 기능을 누락하는 것

[7]  75.0  CWE-798  인증 데이터를 코드에 직접 기록하는 것

[8]  75.0  CWE-311  민감한 데이터에 암호화 누락하는 것

[9]  74.0  CWE-434  위험한 유형의 파일 업로드를 제한하지 않는 것

[10] 73.8  CWE-807  신뢰할 수 없는 입력 정보에 의존하여 보안성 결정하는 것

[11] 73.1  CWE-250  불필요한 권한으로 실행하는 것

[12] 70.1  CWE-352  사이트 각 요청 위조(CSRF :Cross-Site Request Forgery)

[13] 69.3  CWE-22  금지된 디렉토리에 접근을 제한하지 않는 것('경로 추적')

[14] 68.5  CWE-494  무결성 검사 없이 코드 다운로드하는 것

[15] 67.8  CWE-863  올바르지 않은 인가

[16] 66.0  CWE-829  신뢰할 수 없는 제어영역에서 온 기능을 포함하는 것

[17] 65.5  CWE-732  중요한 자원에 잘못된 권한을 할당하는 것

[18] 64.6  CWE-676  잠재적으로 위험한 함수를 사용하는 것

[19] 64.1  CWE-327  해독되었거나 위험한 암호화 알고리즘 사용하는 것

[20] 62.4  CWE-131  버퍼 크기 잘못 계산하는 것

[21] 61.5  CWE-307  과도한 인증 시도를 제한하지 않는 것

[22] 61.1  CWE-601  신뢰할 수 없는 사이트로 URL 접속지 변경하는 것(„개방적읶 리다이렉트‟)

[23] 61.0  CWE-134  형식 문자열 (Format String)을 통제하지 않는 것

[24] 60.3  CWE-190  정수 오버플로우 또는 랩어라운드 (Integer Overflow or Wraparound)

[25] 59.9  CWE-759  솔트(salt) 없이 일방향 해쉬를 사용하는 것

 

2011_cwe_sans_top25_KR(SANS_Korea).pdf