화이트햇, 2015년 웹 해킹 TOP 10

화이트햇 시큐리티社가 4월 20일 2015년도 웹해킹 Top 10 리스트를 발표했다. 화이트햇 시큐리티는 미국 보안회사로 2006년부터 보안 커뮤니티가 선정하는 웹해킹 기법을 취합한 리스트를 발표해 왔다. 그 해 발표된 가장 새롭고 창조적인 웹 해킹 기법만 모았다는 점에서 기존 리스트와 차별된다.

2015년도 리스트는 해킹기법 접수(2016.1.11~2.1), 제출된 총 39개에서 15개를 보안 커뮤니티 투표로 선정(2016.2.1~8), 보안 전문가 패널 심사를 통해 총 10개 선정 및 순위 부여(2016.2.8~ ) 방식으로 진행되었다. 이 기법들은 오는 6월 1일 열리는 AppSec Europe에서 발표될 예정이다.

2015년도 Top 10 웹 해킹 기법은 다음과 같다.

1. FREAK (Factoring Attack on RSA-Export Keys)
2. TLS 프로토콜 LogJam 공격
3. 실용적인 웹 타이밍 공격
4. 웹 애플리케이션 방화벽 XSS 필터 우회 공격
5. SSRF 플래쉬와 DNS로 CDN 우회
6. IllusoryTLS (Elligator 이용 RSA 모듈에 백도어 넣기)
7. 파일 파싱/업로드 XXE 취약점 익스플로잇
8. XLST 프로세서(parser) 취약점 익스플로잇
9. Magic Hash PHP 취약점
10. 비동기식(Asynchronous) 취약점

출처: Top 10 Web Hacking Techniques of 2015