OWASP
Open Worldwide Application Security Project(OWASP)는 2001년에 설립된 비영리 단체로, 웹 애플리케이션 보안에 대한 표준, 가이드라인, 도구, 교육 자료를 무료로 제공한다. 가장 유명한 산출물은 OWASP Top 10으로, 웹 애플리케이션에서 가장 심각한 10가지 보안 위험을 정기적으로 발표한다. 바이브 코딩에서 OWASP Top 10은 AI가 생성한 코드의 보안 검사 체크리스트로 활용된다. 2021년 기준 Top 10: Broken Access Control(접근 제어 실패), Cryptographic Failures(암호화 실패), Injection(인젝션), Insecure Design(안전하지 않은 설계), Security Misconfiguration(보안 설정 오류), Vulnerable Components(취약한 컴포넌트), Authentication Failures(인증 실패), Data Integrity Failures(데이터 무결성 실패), Logging Failures(로깅 실패), SSRF(서버 측 요청 위조). AI가 생성한 코드를 이 10가지 기준으로 검토하면 주요 보안 취약점을 체계적으로 발견할 수 있다. OWASP는 GenAI(생성형 AI) 보안 가이드라인도 발표하고 있어, LLM 기반 앱의 보안(프롬프트 인젝션, 모델 탈옥 등)에도 기준을 제공한다.
영어 표기
OWASP
예시
AI가 생성한 코드를 OWASP Top 10 기준으로 검토: SQL Injection, XSS, CSRF 등의 취약점 확인.
참고
GenAI 보안 가이드라인도 발표 중.
공식·관련 링크
owasp.org- 카테고리
- 보안·인증
- 난이도
- intermediate
- 태그
- OWASP · 보안표준
- 슬러그
- owasp
- 상태
- published
- 정렬 순서
- 175
함께 읽기
연관 용어
보안·인증
쿠키
영어 표기 Cookie
웹사이트가 브라우저에 저장해 두는 작은 데이터 조각이다. 로그인 상태 유지, 장바구니, 언어 설정처럼 다음 방문에도 기억해야 하는 정보를 담을 때 쓰인다. 편리하지만 인증 쿠키를 잘못 다루면 계정 탈취 위험이 생기므로 httpOnly, secure, sameSite 같은 보안 옵션을 함께 이해해야 한다.
보안·인증
세션
영어 표기 Session
사용자가 사이트에 접속해 있는 동안 서버가 유지하는 상태 정보이다. 보통 브라우저에는 세션 ID만 쿠키로 저장하고, 실제 로그인 사용자 정보와 권한은 서버나 데이터베이스에 둔다. 바이브 코딩에서 로그인 기능을 만들 때 세션과 쿠키의 차이를 이해하면 민감한 사용자 정보를 브라우저에 과도하게 저장하는 실수를 줄일 수 있다.
보안·인증
교차 출처 리소스 공유
영어 표기 CORS (Cross-Origin Resource Sharing)
브라우저가 한 출처의 웹 페이지에서 다른 출처의 API를 호출할 때 적용하는 보안 규칙이다. 프론트엔드와 백엔드 도메인이 다르면 서버가 어떤 출처를 허용하는지 응답 헤더로 알려줘야 한다. 바이브 코딩 초보자가 '브라우저에서는 막히는데 터미널 curl은 된다'는 상황을 만날 때 CORS가 원인인 경우가 많다.