반응형
CWE(Common Weakness Enumeration)
CVE(Common Vulnerabilities and Exposures)는 공개적으로 알려진 보안 위협(security threats)들의 목록으로 미국 정부의 지원을 받는 비영리 단체 MITRE Corporation에서 관리한다. 2025년 중반 기준으로 21,500개 이상의 CVE가 목록에 등록되어 있다. CWE(Common Weakness Enumeration)는 CVE 분석을 기반으로 발견된 소프트웨어 취약점(software weaknesses) 목록이다. CWE 목록 전체에는 900개 이상의 다양한 소프트웨어 및 하드웨어 품질 및 보안 이슈가 포함되어 있다. 이 900개 이상의 항목은 “CWE Top 25”와 같은 더 유용한 목록으로 정리된다. Top 25 목록은 가장 발생 가능성이 높고 위험한 보안 취약점 순위를 나열한다.
| Rank | ID | Name |
| 1 | CWE-79 | 웹 페이지 생성 중 입력값의 부적절한 무효화('크로스 사이트 스크립팅') |
| 2 | CWE-787 | 경계 외 쓰기(Out-of-bounds Write) |
| 3 | CWE-89 | SQL 명령에 사용된 특수 엘리먼트의 부적절한 무효화('SQL 인젝션') |
| 4 | CWE-352 | 크로스 사이트 요청 위조(Cross-Site Request Forgery) |
| 5 | CWE-22 | 경로명을 제한된 디렉터리로 부적절하게 제한('Path Traversal') |
| 6 | CWE-125 | 경계 외 읽기(Out-of-bounds Read) |
| 7 | CWE-78 | OS 명령에 사용된 특수 엘리먼트의 부적절한 무효화('OS 명령 인젝션') |
| 8 | CWE-416 | 해제 후 사용(Use After Free) |
| 9 | CWE-862 | Authorization 누락 |
| 10 | CWE-434 | 위험한 타입의 파일 무제한 업로드 |
| 11 | CWE-94 | 코드 생성 통제의 부적절('코드 인젝션') |
| 12 | CWE-20 | 입력 유효성 검사의 부적절 |
| 13 | CWE-77 | 명령에 사용된 특수 엘리먼트의 부적절한 무효화('Command Injection') |
| 14 | CWE-287 | 부적절한 인증(Improper Authentication) |
| 15 | CWE-269 | 부적절한 권한 관리(Improper Privilege Management) |
| 16 | CWE-502 | 신뢰할 수 없는 데이터의 역직렬화(Deserialization of Untrusted Data) |
| 17 | CWE-200 | 권한이 없는 사용자에게 민감한 정보 노출 |
| 18 | CWE-863 | 잘못된 권한 부여(Incorrect Authorization) |
| 19 | CWE-918 | 서버 측 요청 위조(Server-Side Request Forgery) |
| 20 | CWE-119 | 메모리 버퍼 경계 내 오퍼레이션의 부적절한 제한 |
| 21 | CWE-476 | NULL 포인터 역참조 |
| 22 | CWE-798 | 하드코딩된 자격 증명 사용(Use of Hard-coded Credentials) |
| 23 | CWE-190 | 정수 오버플로 또는 랩어라운드(Integer Overflow or Wraparound) |
| 24 | CWE-400 | 통제되지 않는 리소스 소비 |
| 25 | CWE-306 | 중요 기능에 대한 인증 누락 |
2024년 CWE 선정 가장 위험한 소프트웨어 취약점 25가지
CWE Top 25는 그 자체로 코딩 표준이 아니라 보안을 개선하기 위해 피해야 할 취약점 목록이다. CWE를 준수하기 위해서는, 프로젝트가 이러한 일반적인 취약점을 탐지하고 피하기 위해 합리적인 노력을 기울였음을 증명할 수 있어야 한다.
반응형
'테스팅타입별 > 보안(Security)' 카테고리의 다른 글
| 책 발췌 – 보안 위협 모델링 예 by Gayathri Mohan (0) | 2024.11.25 |
|---|---|
| 책 발췌 – 보안 테스팅 by Everett and McLeod (1) | 2024.02.26 |
| 책 요약정리 – 웹 보안 우려사항 by Nguyen (0) | 2021.05.17 |
| 문서요약 - 버그 배틀 우승자의 보안 테스팅 조언 by Lelchuk (0) | 2019.02.11 |
| 문서요약 - 웹 애플리케이션 보안 문제의 이해 by Rational Software (0) | 2019.02.04 |