liminfoCWE Weakness Reference
CWE 공통 약점 목록 Top 25 및 카테고리 레퍼런스
| ID | 이름 | 카테고리 | 심각도 | OWASP | 설명 |
|---|---|---|---|---|---|
| CWE-787 | Out-of-bounds Write | Memory | 심각 | - | 버퍼 경계 밖 메모리 쓰기. 코드 실행, 크래시 유발. |
| CWE-79 | Cross-site Scripting (XSS) | Injection | 높음 | A03 | 악성 스크립트 주입. 세션 탈취, 피싱. |
| CWE-89 | SQL Injection | Injection | 심각 | A03 | SQL 쿼리에 악성 입력 주입. DB 유출/조작. |
| CWE-416 | Use After Free | Memory | 심각 | - | 해제된 메모리 접근. 코드 실행 가능. |
| CWE-78 | OS Command Injection | Injection | 심각 | A03 | OS 명령어 주입. 시스템 장악 가능. |
| CWE-20 | Improper Input Validation | Injection | 높음 | A03 | 입력 검증 부족. 다양한 공격의 근본 원인. |
| CWE-125 | Out-of-bounds Read | Memory | 높음 | - | 버퍼 경계 밖 데이터 읽기. 정보 노출. |
| CWE-22 | Path Traversal | Injection | 높음 | A01 | 경로 조작으로 임의 파일 접근. ../../../etc/passwd |
| CWE-352 | Cross-Site Request Forgery | Auth | 중간 | A01 | 사용자 모르게 요청 위조. CSRF 토큰으로 방어. |
| CWE-434 | Unrestricted File Upload | Config | 심각 | A04 | 제한 없는 파일 업로드. 웹셸 업로드 가능. |
| CWE-862 | Missing Authorization | Auth | 높음 | A01 | 권한 검사 누락. 무단 접근 가능. |
| CWE-476 | NULL Pointer Dereference | Memory | 중간 | - | NULL 포인터 역참조. 서비스 거부(DoS). |
| CWE-287 | Improper Authentication | Auth | 심각 | A07 | 인증 처리 부적절. 인증 우회 가능. |
| CWE-190 | Integer Overflow | Memory | 높음 | - | 정수 오버플로우. 예상치 못한 동작. |
| CWE-502 | Deserialization of Untrusted Data | Injection | 심각 | A08 | 신뢰할 수 없는 데이터 역직렬화. RCE 가능. |
| CWE-918 | Server-Side Request Forgery (SSRF) | Injection | 높음 | A10 | 서버가 공격자 지정 URL로 요청. 내부 서비스 접근 가능. |
| CWE-400 | Uncontrolled Resource Consumption | Config | 중간 | - | 리소스 소진 공격. CPU/메모리/디스크 과다 사용으로 DoS. |
| CWE-611 | XML External Entity (XXE) | Injection | 높음 | A05 | XML 외부 엔티티 처리. 파일 읽기, SSRF 유발. |
| CWE-295 | Improper Certificate Validation | Config | 높음 | A07 | SSL/TLS 인증서 검증 부적절. 중간자 공격 가능. |
| CWE-798 | Hard-coded Credentials | Auth | 심각 | A07 | 코드에 하드코딩된 자격증명. 인증 우회. |
| CWE-863 | Incorrect Authorization | Auth | 높음 | A01 | 부정확한 권한 검사. 권한 상승 가능. |
| CWE-1321 | Prototype Pollution | Injection | 높음 | A03 | JS 프로토타입 오염. 속성 주입으로 로직 변조. |
| CWE-77 | Command Injection | Injection | 심각 | A03 | 명령어 구조에 악성 요소 주입. 임의 명령 실행. |
| CWE-269 | Improper Privilege Management | Auth | 높음 | A04 | 권한 관리 부적절. 불필요한 권한 상승. |
| CWE-732 | Incorrect Permission Assignment | Config | 중간 | A01 | 파일/리소스 권한 설정 오류. 무단 접근 가능. |
CWE Weakness Reference 소개
CWE 취약점 레퍼런스는 MITRE가 관리하는 공통 약점 열거(CWE) 카탈로그에서 가장 중요하고 널리 악용되는 15개 소프트웨어 약점을 검색할 수 있는 무료 레퍼런스 도구입니다. 각 항목에는 CWE 식별자, 약점 이름, 심각도 등급(심각·높음·중간), 해당 약점이 어떻게 발생하고 어떤 공격을 가능하게 하는지 설명하는 간결한 기술적 설명이 포함됩니다.
소프트웨어 개발자, 보안 엔지니어, 침투 테스터, 코드 리뷰어, 컴플라이언스 전문가들은 CWE 레퍼런스를 일상적으로 활용합니다. 취약점 스캐너가 문제를 발견하거나, 보안 아키텍트가 완화 방안을 제안하거나, 개발팀이 위협 모델링 세션을 진행할 때 빠른 CWE 조회가 필요합니다. 이 도구는 해당 약점이 무엇인지, 얼마나 위험한지, 어떤 공격을 가능하게 하는지를 한 페이지에서 검색할 수 있게 해줍니다.
이 레퍼런스는 CWE Top 25 가장 위험한 소프트웨어 약점 목록의 핵심 항목들을 포괄합니다. 메모리 안전 문제(CWE-787 경계 외 쓰기, CWE-416 해제 후 사용, CWE-125 경계 외 읽기), 인젝션 취약점(CWE-89 SQL 인젝션, CWE-78 OS 명령 인젝션, CWE-79 XSS), 인증 및 접근 제어 약점(CWE-287, CWE-862, CWE-352 CSRF), 직렬화·파일 처리 문제(CWE-502, CWE-434)가 포함됩니다. 검색창은 CWE ID, 이름, 설명 전체를 동시에 필터링합니다.
주요 기능
- MITRE CWE Top 25에서 선별한 15개 핵심 CWE 항목 수록
- 빠른 위험도 파악을 위한 심각도 배지 — 심각(빨간색), 높음(주황색), 중간(노란색)
- CWE ID, 약점 이름, 설명을 대상으로 하는 전체 텍스트 검색
- 각 약점의 공격 영향을 설명하는 간결한 기술적 설명
- 메모리 안전, 인젝션, XSS, CSRF, 인증, 역직렬화 카테고리 포괄
- 현재 검색어와 일치하는 항목 수를 표시하는 실시간 결과 카운트
- 100% 클라이언트 사이드 — 데이터 내장, 네트워크 요청 불필요
- 15개 항목 모두 한국어·영어 이중 언어 설명 지원
자주 묻는 질문
CWE란 무엇인가요?
CWE(공통 약점 열거)는 MITRE와 CISA가 지원하여 개발한 소프트웨어 및 하드웨어 약점 목록입니다. 특정 제품의 특정 취약점을 목록화하는 CVE와 달리, CWE는 취약점을 유발하는 코드 레벨의 근본적인 약점 유형을 분류합니다. CWE를 이해하면 개발자가 더 안전한 코드를 작성하고 보안팀이 코드 리뷰 우선순위를 정하는 데 도움이 됩니다.
CWE Top 25란 무엇인가요?
CWE Top 25 가장 위험한 소프트웨어 약점은 MITRE와 CISA가 CVE 데이터 분석을 기반으로 매년 발표하는 가장 일반적이고 영향력 있는 소프트웨어 약점 순위입니다. 개발팀, 보안 프로그램, 미국 정부의 안전한 소프트웨어 개발 프레임워크(SSDF) 등 다양한 컴플라이언스 프레임워크에서 보안 노력 우선순위를 정하는 데 활용됩니다.
CWE-787 경계 외 쓰기란 무엇인가요?
CWE-787은 소프트웨어가 의도한 버퍼 경계 밖의 메모리 위치에 데이터를 쓸 때 발생합니다. 인접 메모리를 손상시키거나 애플리케이션을 충돌시키거나, 함수 포인터나 반환 주소를 덮어써 공격자가 임의 코드를 실행할 수 있습니다. 연속 여러 해 동안 CWE Top 25 1위를 차지했습니다.
CWE-79 크로스사이트 스크립팅(XSS)이란 무엇인가요?
CWE-79는 애플리케이션이 신뢰할 수 없는 데이터를 적절한 검증이나 이스케이핑 없이 웹 페이지에 포함할 때 발생합니다. 공격자가 악성 스크립트를 주입해 다른 사용자의 브라우저에서 실행되도록 하여 세션 탈취, 자격 증명 도용, 피싱 리다이렉트 등의 공격이 가능합니다. 출력 인코딩과 Content Security Policy 헤더로 방어합니다.
CWE-89 SQL 인젝션이란 무엇인가요?
CWE-89는 사용자 입력이 정제 없이 SQL 쿼리에 포함될 때 발생합니다. 공격자가 쿼리를 조작해 인증을 우회하고, 전체 데이터베이스를 추출하고, 레코드를 수정하거나 삭제하며, 일부 설정에서는 운영 체제 명령도 실행할 수 있습니다. 파라미터화된 쿼리 또는 준비된 구문(Prepared Statement)으로 방어합니다.
CWE와 CVE의 차이는 무엇인가요?
CVE(공통 취약점 및 노출)는 특정 소프트웨어 버전의 특정 보안 취약점을 식별합니다(예: CVE-2021-44228 Log4Shell). CWE는 취약점을 유발한 약점 유형을 식별합니다(예: CWE-502 신뢰할 수 없는 데이터의 역직렬화). 모든 CVE는 일반적으로 하나 이상의 CWE 식별자에 매핑됩니다.
특정 CWE 항목을 어떻게 검색하나요?
검색창에 CWE ID의 일부(예: "787"), 약점 이름(예: "injection"), 또는 설명의 키워드(예: "memory")를 입력하면 됩니다. 표가 실시간으로 필터링되고 결과 수가 업데이트됩니다.
CWE-502 신뢰할 수 없는 데이터의 역직렬화란 무엇인가요?
CWE-502는 애플리케이션이 신뢰할 수 없는 출처의 데이터를 검증 없이 역직렬화할 때 발생합니다. 공격자가 역직렬화 과정에서 임의 코드 실행(RCE)을 트리거하는 악성 직렬화 페이로드를 만들 수 있습니다. Apache Commons Collections 및 Log4Shell 공격이 대표적입니다. 출처 검증, 안전한 형식(JSON) 사용, 역직렬화 허용 클래스 화이트리스트로 방어합니다.