A01_2021-Broken Access Control
접근 제어가 취약하여 데이터 무단 열람 및 수정, 삭제 등으로 이어지는 위협이 발생할 수 있는 취약점
- 취약페이지 접근 탐지
- 디렉토리 리스팅
- 스템 파일 접근 탐지
A02_2021-Cryptographic Failures
전송 및 저장 데이터에 적절한 암호화가 이루어지지 않아서 정보 유출이 발생할 수 있는 취약점
- 개인정보 유입 탐지
- 개인정보 유출 탐지
- SSL offload
A03_2021-Injection
신뢰할 수 없는 데이터가 명령어나 쿼리문에 삽입되어 인터프리터로 보내질 때 정보 유출이 훼손이 발생할 수 있는 취약점
- SQL 인젝션
- LDAP 인젝션
- 커멘드 인젝션
- NoSQL 인젝션
A04_2021-Insecure Design
누락되거나 비효율적인 제어 설계로 인해 이를 악용하여 위협이 발행할 수 있는 취약점
- URL Encryption
- 어플리케이션 프로파일링
- API 프로텍션
A05_2021-Security Misconfiguration
어플리케이션 및 클라우드 서비스에서 보안에 대한 설정이 누락되어 발생할 수 있는 취약점
- 에러페이지 클로킹
- 헤더 클로킹
- HTTP 메소드 제한 탐지
- HTTP 비정상 요청 탐지
A06_2021-Vulnerable and Outdated Components
소프트웨어, 라이브러리, 컴포넌트 등 취약하거나 지원 중단된 버전 사용 및 보안 업데이트 미적용으로 발생할 수 있는 취약점
- 어플리케이션 취약성 탐지
- 웹 서버 취약성 탐지
A07_2021-Identification and Authentication Failures
공격자가 계정 정보 목록을 가지고 크리덴셜 스터핑과 같은 자동화 공격이 발생할 수 있는 취약점
- 쿠키 위변조 탐지
- 부정 로그인 시도
A08_2021-Software and Data Integrity Failures
신뢰할 수 없는 소스코드, 저장소, CDN, 라이브라리 또는 모듈에 의존하는 경우에 발생할 수 있는 취약점
- 어플리케이션 취약성 탐지
- 쿠키 위변조 탐지
A09_2021-Security Logging and Monitoring Failures
로깅 및 모니터링 시스템에 대한 신뢰할 수 없는 입력으로 인한 위협이 발생할 수 있는 취약점
- URL 접근 룰
- 우선 정책: URL 접근 룰
- 모든 정책 응답데이터 로깅
A10_2021- Server-Side Request Forgery (SSRF)
웹 어플리케이션이 유효성 검사 없이 원격 리소스를 가져올 때 발생할 수 있는 취약점
- 헤더 취약성 탐지
- 크로스 사이트 스크립트
- IP 정책