[Web Hacking] Bee - Box -OWASP TOP 10 및 설치-

1. OWASP TOP 10

 

 

OWASP TOP 10

OWASTP TOP 10 이란? (Open Web Application Security Project) 는 오픈소스 웹 어플리케이션 보안 프로젝트 이다. 주로 웹에 관한 정보 노출 , 악성 파일 스크립트 , 보안 취약점 등 을 연구하며 3년 단위로 웹 어플리케이션 에서 가장 발생 빈도가 높은 취약점 10개를 발표 한다.

취약점 중에서도 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하여 2004,2007,2010,201

3,2017년을 기준으로 발표 되었고 , 문서가 공개되었다.

​

2.취약점 분류

 

 

위의 그림 1-1은 OWASP TOP 10 에서 제공한 주요 웹 어플리케이션 취약점 표 이다.

2013(이전) 에 비해 2017(신규) 는 크게 달라지지 않았다 추가,변경 된 항목이 있다면,

A4 – 취약한 직접 개체 참조 부분이 A7 – 기능 수준의 접근통제 누락 과 통합되어 신규

항목에 추가되었다.

 

또한 신규 취약점 항목을 본다면 A7 – 공격 방어 취약점 이 새로운 항목으로 등재되었고,

A10 – 취약한 API 항목도 새롭게 등재되었다.

 

3. BEE-BOX 환경 구축

3-1 BEE-BOX ?

 

 

비박스 는 웹 취약점을 공격할 수 있는 오픈소스 웹 어플케이션인 bWAPP 가 설치된 가상환

경으로,웹 취약점 공격을 공부하기 위해 만들어졌으며 100여 개가 넘는 웹 취약점이 존재한

다. 취약점은 OWASP TOP 10을 기준으로 분류되었다.

 

 

비박스는 웹 어플리케이션 취약점의 기본인 INJECTION , XSS 취약점 쉘 쇼크 , 하트블리드

 

취약점 등 웹 어플리케이션뿐만 아니라 웹 서버,네트워크 기반의 취약점까지 포함되어 있어

서 다양한 취약점을 연구하고 실습할 수 있다.

 

보안 교육은 책이나 강의를 통하여 꾸준히 진행되고 있지만, 실습 환경이 단일화 되어 있지

않고 책 한권에서도 여러 환경을 설치 하는 경우가 많다 그래서 한 환경에서 OWASP TOP

10 을 분석 할수 있는 환경을 고민하다 BEE-BOX를 선택하게 되었다.

 

BEE-BOX는 최신 시스템 공격 기법을 포함하고 있으며 항목별로 난이도가 조정되어 단계별

로 실습해 나가면서 웹 어플리케이션 취약점의 공격 기법을 이해할 수 있다.

​

​

 

 

BEE-BOX 환경을 설치하기 위해 bWAPP 공식 홈페이지의 Download 화면이다.

 

 

bWAPP 를 Download 하고 vmx파일이 생성된 모습이다.

 

 

 

그림 1-4 는 vmx파일을 실행시킨 모습이다.

 

 

 

가상머신을 실행시킨 화면이다.

 

 

모든 설치가 끝난 모습.