[문제] OWASP Top 10 2021의 주요 보안 취약점 중 SQL Injection, XSS(Cross-Site Scripting), CSRF(Cross-Site Request Forgery)의 공격 원리와 대응 방안을 설명하고, API 보안(OWASP API Security Top 10)에서 추가된 주요 위협을 서술하시오.
1. 주요 웹 취약점 비교
| 취약점 | 공격 원리 | 대응 방안 |
|---|---|---|
| SQL Injection | 입력값에 SQL 구문 삽입 → 쿼리 조작으로 DB 무단 접근 | Prepared Statement(파라미터화 쿼리), ORM 사용, 입력값 검증, 최소 권한 DB 계정 |
| XSS | 악성 스크립트를 웹 페이지에 삽입. 피해자 브라우저에서 실행 (쿠키 탈취, 세션 도용) | 출력 인코딩(HTML 이스케이프), CSP(Content Security Policy), HttpOnly 쿠키, DOM 조작 시 textContent 사용 |
| CSRF | 피해자의 인증 쿠키를 이용해 공격자가 의도한 요청 강제 전송 | CSRF 토큰, SameSite 쿠키 속성, Origin·Referer 헤더 검증, 중요 작업 재인증 |
2. OWASP API Security Top 10 주요 위협
- API1: Broken Object Level Authorization (BOLA/IDOR): ID 조작으로 다른 사용자 데이터 접근. 객체 수준 권한 검증 강화
- API2: Broken Authentication: 약한 토큰·세션 관리. JWT 서명 검증, 만료 시간 설정
- API3: Broken Object Property Level Authorization: 민감 속성 과도 노출(Mass Assignment). 응답 필터링
- API4: Unrestricted Resource Consumption: Rate Limiting 미적용으로 DoS 취약
핵심 키워드: OWASP, SQL Injection, XSS, CSRF, BOLA, API Security, CSP, CSRF Token, Prepared Statement
SQL Injection·XSS·CSRF는 입력 검증·출력 인코딩·CSRF 토큰으로 방어한다. API 보안은 BOLA(객체 수준 권한), Rate Limiting, JWT 검증이 핵심이며, OWASP API Security Top 10은 REST API 설계 시 필수 보안 체크리스트다.