OWASP TOP 10 -A05 (Security Misconfiguration :보안설정오류)

A01	Broken Access Control (접근 권한 취약점)
A02	Cryptographic Failures (암호화 오류)
A03	Injection (인젝션)
A04	Insecure Design (안전하지 않은 설계)
A05	Security Misconfiguration (보안설정오류)
A06	Vulnerable and Outdated Components (취약하고 오래된 소스)
A07	Identification and Authentication Failures (식별 및 인증 오류)
A08	Software and Data Integrity Failures (소프트웨어 및 데이터 무결성 오류)
A09	Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패)
A10	Server-Side Request Forgery (서버 측 요청 위조)

A05 : Security Misconfiguration (보안설정오류)

• moves up from #6 in the previous edition; 90% of applications were tested for some form of misconfiguration. With more shifts into highly configurable software, it’s not surprising to see this category move up. The former category for XML External Entities (XXE) is now part of this category.
• 2017년 버전 6위에서 상승하였다. 애플리케이션의 90%가 어떤 형태로든 잘못된 구성에 대해 테스트되었다. 요즘 소프트웨어가 점점 더 사용자 맞춤형(구성이 자유로운) 고도의 형태로 바뀌다 보니, 이 카테고리가 더 상위로 올라가는 것은 당연하다. 이전 버전의 XML 외부 엔티티(XXE)를 담당했던 카테고리가 이제 이 카테고리에 해당.
  • 주요 공통 취약점 목록(CWE)
    • CWE-16: 구성.
    • CWE-611: XML 외부 엔터티 참조의 부적절한 제한.

설명

• 애플리케이션이 아래의 내용과 같은 경우 취약.
  • 애플리케이션 스택의 적절한 보안 강화가 누락되었거나 클라우드 서비스에 대한 권한이 적절하지 않게 구성.
  • 불필요한 기능이 활성화 되거나 설치.
  • 기본계정 및 비밀번호가 변경되지 않았을 때.
  • 지나치게 상세한 오류 메시지를 노출.
  • 최신 보안기능이 비활성화 및 안전하지 않게 구성.
  • 서버가 보안 헤더나 지침을 전송하지 않고 보안 값을 설정 하지 않을때.
  • 오래되고 취약한 소프트웨어 사용.

예방법

• 불필요한 기능, 구성 요소, 문서 , 샘플 파일이 없는 최소한의 플랫폼 구성.
• 모든 보안 참고 사항, 업데이트 및 패치에 적합한 구성 검토 및 업데이트. 클라우드 스토리지 권한 (ex: S3 버킷 권한) 검토.
• 개발 , QA , 운영 환경은 모두 동일하게 구성, 각 환경에서는 서로 다른 자격 증명 사용.
• 클라이언트에게 보안 지침(ex: 보안 헤더) 전송.

공격 시나리오 예시

시나리오 1: 애플리케이션 서버에 프로덕션 서버에서 제거되지 않은 샘플 애플리케이션이 포함되어 있고 이 샘플 애플리케이션에는 공격자가 서버를 손상시키는 데 사용하는 알려진 보안 취약점이 있다. 이러한 애플리케이션 중 하나가 관리 콘솔이고 기본 계정이 변경되지 않았다고 가정한다. 이 경우, 공격자는 기본 비밀번호로 로그인하여 권한을 장악 가능.

시나리오 2: 서버에서 디렉터리 목록 기능이 비활성화되어 있지 않는다. 공격자는 디렉터리 목록만 볼 수 있다는 것을 알게 된다면 공격자는 컴파일된 Java 클래스를 찾아 다운로드한 후, 디컴파일 및 리버스 엔지니어링을 통해 코드를 확인, 그런 다음 공격자는 애플리케이션에서 심각한 접근 제어 취약점을 발견.

시나리오 3: 애플리케이션 서버 구성에서 스택 추적과 같은 자세한 오류 메시지를 사용자에게 반환할 수 있다. 이로 인해 민감한 정보나 취약한 것으로 알려진 구성 요소 버전과 같은 근본적인 결함이 노출될 가능성이 있다.

시나리오 4: 클라우드 서비스 제공업체(CSP)는 다른 CSP 사용자에게 인터넷에 대한 기본 공유 권한을 공개. 이를 통해 클라우드 스토리지에 저장된 민감한 데이터에 접근할 수 있다.

Security Misconfiguration 항목의 CWE 목록

CWE-2 7PK - Environment

CWE-11 ASP.NET Misconfiguration: Creating Debug Binary

CWE-13 ASP.NET Misconfiguration: Password in Configuration File

CWE-15 External Control of System or Configuration Setting

CWE-16 Configuration

CWE-260 Password in Configuration File

CWE-315 Cleartext Storage of Sensitive Information in a Cookie

CWE-520 .NET Misconfiguration: Use of Impersonation

CWE-526 Exposure of Sensitive Information Through Environmental Variables

CWE-537 Java Runtime Error Message Containing Sensitive Information

CWE-541 Inclusion of Sensitive Information in an Include File

CWE-547 Use of Hard-coded, Security-relevant Constants

CWE-611 Improper Restriction of XML External Entity Reference

CWE-614 Sensitive Cookie in HTTPS Session Without 'Secure' Attribute

CWE-756 Missing Custom Error Page

CWE-776 Improper Restriction of Recursive Entity References in DTDs ('XML Entity Expansion')

CWE-942 Permissive Cross-domain Policy with Untrusted Domains

CWE-1004 Sensitive Cookie Without 'HttpOnly' Flag

CWE-1032 OWASP Top Ten 2017 Category A6 - Security Misconfiguration

CWE-1174 ASP.NET Misconfiguration: Improper Model Validation

참고자료

https://owasp.org/www-project-top-ten/

https://velog.io/@minjeong-dev/2021-OWASP-10대-취약점

https://oobwrite.com/entry/OWASP-TOP10-2023-소개-및-정리

https://blog.alyac.co.kr/4135