OWASP(Open Web Application Security Project)에서는 매년 웹 보안에 관련되어 자주 발생하는 취약점에 대한 보고서를 작성하여 발표합니다. 이 취약점 목록은 웹방화벽 프로그램이 자체적인 기능을 충분히 보유하고 있는지 가늠할 수 있는 기준이 됩니다. ThreatSentry는 기본적으로 이러한 취약점에 대해 예방할 수 있으며, 그 외에 널리 알려진 공격 기법뿐만 아니라 새로 발견되는 공격 기법까지도 충분히 차단할 수 있습니다.

A1. 크로스 사이트 스크립팅(XSS:Cross Site Scripting) – XSS 취약점은 컨텐트를 암호화 또는 검증하는 과정 없이 사용자의 입력 데이터 값을 애플리케이션이 그대로 받아들이거나, 웹 브라우저로 응답할 때마다 발생합니다. 따라서, 사용자의 브라우저에서 스크립트를 실행하게 함으로써 사용자의 세션을 가로채거나 웹 사이트의 변조 또는 웜(악성 코드)를 업로드하는 등의 공격이 가능합니다.

A2. 인젝션 취약점(Injection Flaws) – 가장 많이 발생하는 인젝션 취약점은 바로 SQL 인젝션으로, 사용자가 입력한 데이터 값이 명령어나 쿼리문의 일부분으로 전달될 때 발생합니다. 공격자가 조작한 URL이나 매개변수를 전송할 경우에는 의도하지 않은 명령어를 실행하거나 데이터를 변경할 수 있습니다.

A3. 악성 프로그램 실행(Malicious File Execution) – 원격 파일 인젝션(Remote File Injection)에 취약한 코드는 공격자가 조작한 코드 및 악성 프로그램을 웹사이트에 삽입할 수 있는 기회를 제공하게 됩니다. 이러한 공격을 통해 PHP, XML 그리고 사용자가 파일을 다운로드하는데 영향을 주게 됩니다.

A4. 안전하지 않은 직접 개체 참조(Insecure Direct Object Reference) – 웹 서버에 위치한 파일, 폴더, 데이터베이스, 키와 같은 값들을 URL 또는 폼의 매개변수로 노출시킬 때에 발생합니다. 공격자는 이러한 참조 값을 조작하여 인증을 거치지 않고 다른 객체에 접근할 수 있습니다.

A5. 크로스 사이트 요청 변조(CSRF:Cross Site Request Forgery) – 로그온한 사용자의 브라우저가 사전에 승인된 요청을 취약한 웹 서버로 전송함으로써 공격자가 원하는 악의적인 동작을 처리하게 합니다.

A6. 정보 유출 및 부적절한 오류 처리(Information Leakage and Improper Error Handling) – 웹 애플리케이션 속에 포함되어 있는 내부 작업 정보, 구성 정보, 백업 파일(ex. *.bak)등을 누출하거나 개인정보를 누출하여 공격자로 하여금 이러한 정보를 이용할 수 있습니다. 공격자는 이러한 약점을 통해 중요한 정보를 훔치거나 의도된 공격을 감행할 수 있습니다.

A7. 취약한 인증 및 세션 관리(Broken Authentication and Session Management) – 로그온 자격 증명 및 세션 토큰을 적절히 보호하지 못하는 경우에 공격자는 다른 사용자 인 것처럼 가장하기 위해 비밀번호, 키 또는 인증 토큰을 조작하여 공격합니다.

A8. 데이터를 암호화하지 않는 저장 방법(Insecure Cryptographic Storage) – 웹 애플리케이션은 데이터와 인증 자격 증명을 보호하기 위해 사용되는 암호화 기능을 거의 적용하지 않습니다. 특히, 신용카드, 주민번호와 같이 민감한 개인정보를 암호화하여 저장하지 않는 경우에는 치명적인 결과를 가져올 수 있습니다.

A9. 안전하지 않은 통신(Insecure Communication) – 웹 애플리케이션과 사용자의 웹 브라우저 또는 웹 애플리케이션과 데이터 스토리지 서버(ex. SQL 서버) 간에 안전한 비밀통신을 유지하는 것이 좋습니다.

A10. URL 접속 제한 실패(Failure to Restrict URL Access) – 권한이 없는 사용자가 웹 애플리케이션의 특정한 주소나 URL을 볼 수 없도록 차단함으로써 중요한 기능을 숨깁니다. 공격자는 이러한 약점을 이용하여 직접 URL을 접근하여 조작하여 공격합니다.