웹 개발자가 고민해야 하는 시큐어 코딩 범위

개발자로써 어떻게 하면 시큐어 코딩을 잘 할 수 있을까?라는 고민은 다들 한번쯤 할 수가 있는데 

현재(2018-01-13)기준으로는 기본적으로 아래와 같은 사항에 대해서 고민을 해야 한다.

또한, 그에 따라서 웹개발자라면 FindSecurityBugs, OWASP ZAP툴에 대해서 한번쯤은 고민해야 한다고 생각한다.

조금 더 자세한 내용으로 블로그를 작성하면 좋겠지만 우선은 시큐어 코딩에 대해서 여기서부터가 시작이라고 생각한다.

- OWASP TOP 10(2017) (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#Translation_Efforts_2)

1.  인젝션

2.  취약한 인증

3.  민감한 데이터 노출

4.  XML 외부 개체(XXE)

5.  취약한 접근 통제

6.  잘못된 보안 구성

7.  크로스 사이트 스크립팅(XSS)

8.  안전하지 않는 역직렬화

9.  알려진 취약점이 있는 구성요소 사용

10.  불충분한 로깅 및 모니터링

- OWASP TOP 10(2013)  

1.  인젝션

2.  취약한 인증과 세션관리

3.  크로시 사이트 스크립팅(XSS)

4.  안전하지 않은 직접 객체 참조

5.  잘못된 보안 구성

6.  민감한 데이터 노출

7.  기능 수준의 접근 통제 누락

8.  크로스 사이트 요청 변조(CSRF)

9.  알려진 취약점이 있는 구성요소 사용

10.  검증되지 않은 리다이렉트 및 포워드

  

- CWE/SANS top 25 (2010) (https://www.sans.org/top25-software-errors/archive/2010)  

*  CWE-79: Failure to Preserve Web Page Structure ('Cross-site Scripting')

*  CWE-89: Failure to Preserve SQL Query Structure (aka 'SQL Injection')

*  CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')

*  CWE-352: Cross-Site Request Forgery (CSRF)

*  CWE-285: Improper Access Control (Authorization)

*  CWE-807: Reliance on Untrusted Inputs in a Security Decision

*  CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

*  CWE-434: Unrestricted Upload of File with Dangerous Type

*  CWE-78: Failure to Preserve OS Command Structure (aka 'OS Command Injection')

*  CWE-311: Missing Encryption of Sensitive Data

*  CWE-798: Use of Hard-coded Credentials

*  CWE-805: Buffer Access with Incorrect Length Value

*  CWE-754: Improper Check for Unusual or Exceptional Conditions

*  CWE-98: Improper Control of Filename for Include/Require Statement in PHP Program ('PHP File Inclusion')

*  CWE-129: Improper Validation of Array Index

*  CWE-190: Integer Overflow or Wraparound

*  CWE-209: Information Exposure Through an Error Message

*  CWE-131: Incorrect Calculation of Buffer Size

*  CWE-306: Missing Authentication for Critical Function

*  CWE-494: Download of Code Without Integrity Check

*  CWE-770: Allocation of Resources Without Limits or Throttling

*  CWE-732: Incorrect Permission Assignment for Critical Resource 

*  CWE-601: URL Redirection to Untrusted Site ('Open Redirect')

*  CWE-327: Use of a Broken or Risky Cryptographic Algorithm

*  CWE-362: Race Condition