320x100
320x100

1. XSS (크로스 사이트 스크립팅)

웹 페이지에서 입력을 제대로 중화하지 못해 공격자가 악성 스크립트를 주입할 수 있음

 

2. SQL Injection

외부 입력이 SQL 쿼리에 그대로 반영되어 데이터베이스 공격이 가능한 취약점

 

3. CSRF (크로스 사이트 요청 위조)

사용자의 세션을 도용해 의도치 않은 요청을 실행하게 하는 공격 기능

 

4. Missing Authorization (권한 인가 누락)

권한 확인 누락으로 비인가 접근이 가능한 상태

 

5. Out-of-bounds Write (경계 밖 쓰기)

배열/버퍼 경계를 넘어쓰는 메모리 손상으로 임의 코드 실행 위험

 

6. Path Traversal (경로 횡단)

경로 조작으로 보호된 파일/디렉터리에 접근 가능

 

7. Use After Free (해제된 메모리 재사용)

해제된 메모리를 영역을 다시 참조하거나 사용하는 취약점으로

메모리 손상, 정보 유출, 원격 코드 실행(RCE)까지 이어질 수 있음

 

8. Out-of-bounds Read (경계를 벗어난 읽기)

유효 범위를 넘어 읽어 민감 정보 노출 가능

 

9. OS Command Injection (운영체제 명령 주입)

시스템 명령을 주입해 원격 코드 실행 가능

 

10. Code Injection (코드 주입)

외부 입력으로 코드 생성/실행되어 시스템 장악 위험

 

11. Classic Buffer Overflow

입력 크기 검증 누락으로 버퍼 오버플로우 발생

 

12. Unresricted Upload of File with Dangerous Type (위험한 유형의 파일 무제한 업로드)

위험한 파일 업로드로 서버 침해 가능

 

13. NULL Pointer Dereference (널 포인터 역참조)

널 포인터 역참조로 서비스 충돌/중단 발생

 

14. Stack-based Buffer Overflow (스택 기반 버퍼 오버 플로우)

스택 기반 버퍼 오버플로우로 제어권 탈취 위험

 

15. Deserialization of Untrusted Data (신뢰하지 않는 데이터 역직렬화)

신뢰하지 않는 데이터 역직렬화로 RCE(원격 코드 실행) 가능

 

16. Heap-based Buffer Overflow

힙 버퍼 오버플로우로 메모리 손상/권한 상승 위험

 

17. Incorrect Authorization (잘못된 권한 부여)

권한 체크는 있으나 틀리게 구현된 상태

 

18. Improper Input Validation (부적절한 입력 검증)

입력 검증 부족으로 다양한 공격에 취약

 

19. Improper Access Control (부적절한 접근 제어)

접근 제어가 잘못되어 권한 없는 조작 가능

 

20. Exposure of Sensitive Information to an Unauthorized Actor (권한 없는 행위자에 대한 민감한 정보 노출)

민감 정보가 비인가 사용자에게 노출

 

21. Missing Authentication for Critical Function (중요 기능에 대한 인증 누락)

중요한 기능에 인증이 없어 악성 접근 가능

 

22. Server-Side Request Forgery (서버 측 요청 위조)

서버가 내부 리소스로 요청을 강제해 접근 위험

 

23. Command Injection (명령 주입)

특수 문자 조작으로 시스템 명령을 삽입 실행

 

24. Authorization Bypass Through User-Controlled Key (사용자가 제어하는 키를 통한 권한 우회)

키 값 변경으로 권한 우회 가능

 

25. Allocation of Resources Without Limits or Throttling (제한이나 스로틀링 없는 리소스 할당)

리소스 한계 없이 할당되어 서비스 거부 공격 유발

 

 

 

 

 

 

 

Reference

https://cwe.mitre.org/top25/archive/2025/2025_cwe_top25.html?utm_source=chatgpt.com

 

CWE - 2025 CWE Top 25 Most Dangerous Software Weaknesses

 

cwe.mitre.org

 

 

300x250
728x90
저작자표시 비영리 동일조건 (새창열림)

'Development > Development' 카테고리의 다른 글

블랙박스 테스팅에 대해 알아보자  (0) 2025.12.21
UUID v4 기본키를 피해야하는 이유  (1) 2025.12.21
스펙 주도 개발 (SDD, Spec Driven Development)  (0) 2025.12.20
도메인 주도 개발 (DDD, Domain Driven Development)  (0) 2025.12.08
알고리즘 실행 시간 (시간 복잡도)에 대해 알아보자  (0) 2025.10.19

티스토리툴바