분류 전체보기214 [웹보안] 인터넷 해킹과 보안 연습문제 6장 인터넷 해킹과 보안 4판김경곤 한빛아카데미1. 웹 애플리케이션 취약점 진단 방법 중에서 개발된 소스코드를 직접 보고 취약점을 찾는 방식은 Black Box Testing 2. 웹 애플리케이션에서 가장 빈번하게 발생하는 취약점은 입력 데이터 검증 미흡 3. 행정안전부의 소프트웨어 개발 보안 가이드와 OWASP top 10의 버전 간 항목 매핑- 입력 데이터 검증 및 표현 - A3 인젝션, A10 서버 사이트 요청 변조 SSRF, A4 안전하지 않은 설계- 보안 기능 - A1 잘못된 접근 통제, A5 보안 설정 오류, A7 식별 및 인증 실패, A8 소프트웨어와 데이터 무결성 실패, A9 보안 로그 및 모니터링 실패- 캡슐화 - A2 암호화 오류- API 오용 - A6 취약하거나 오래된 컴포넌트 4. 입력값.. 2024. 4. 29. [웹보안] 인터넷 해킹과 보안 연습문제 5장 인터넷 해킹과 보안 4판김경곤 한빛아카데미1. 웹 사이트에서 개인을 구별하기 위해 만든 것으로 클라이언트 측에 저장해두는 것은 쿠키 2. XSS는 Cross Site Scripting 의 약자다 3. XSS 공격을 통해 공격자가 일차적으로 얻고자 하는 정보는 사용자가 웹 서버로 전송하는 고유 쿠키 값 정보 4. CSRF는 Cross Site Request Forgery 의 약자다 5. XSS 취약점을 찾는 방법 중 하나인 스크립트 검증 예시로 사용되는 코드">">alert(document.cookie)"%3e%3cscript%3ealert(document.cookie)%3c/script%3e">%00"> 6. XSS 공격- 사용자가 조회하는 웹 페이지에 스크립트를 삽입하는 간단한 방식이지만 웹 애플리케이.. 2024. 4. 29. [웹보안] 인터넷 해킹과 보안 연습문제 4장 인터넷 해킹과 보안 4판김경곤 한빛아카데미1. SQL DML 종류에 대한 설명2. SQL DDL 종류에 대한 설명 * DML : 데이터 조작 언어- SELECT 데이터 추출- UPDATE 데이터 수정- DELETE 데이터 삭제- INSERT 새 데이터 추가 * DDL : 데이터 정의 언어- CREATE 새로운 데이터 베이스나 테이블, 인덱스 생성- ALTER 데이터베이스나 테이블 수정- DROP 테이블이나 인덱스 삭제 3. 동시에 두 개의 테이블에서 데이터를 가져올 때 사용하는 명령어로 특히 SQL 인젝션 공격에서 다른 테이블에 있는 데이터를 가져올 때 사용하는 것은 JOIN 4. XPath 삽입 공격에서 사용되는 특수 문자는 / 5. Microsoft SQL Server에서 사용자 정의 테이블을 가.. 2024. 4. 29. [웹보안] 인터넷 해킹과 보안 연습문제 3장 인터넷 해킹과 보안 4판김경곤 한빛아카데미1. 가지고 있는 것을 사용한 인증 방법 - 여권알고 있는 것 정해진 것가지고 있는 것은 잃어버릴 수 있는 것그 자체로 데이터가 되는 것 2. 가장 취약한 패스워드는 ABC12cdf ?? 3. 접근 통제 유형 중에서 특정 정보에 대한 접근 권한을 수준별로 상이하게 설정한 통제는 수직적 접근 통제 * 수평적 접근 통제 - 여러 사용자가 존재할 때 상대 정보 안 보이게* 비즈니스 로직 접근 통제 - 사용자 권한에 종속되지 않고 중요 자원 접근에 대해 * 강제적 접근 통제 - 없음 통제에 대한 공격 방법??? 장단점도 확인하기 4. 인증과 관련된 취약점을 공격하는 대표적인 사례 6. 비즈니스 로직 접근 통제란 사용자 권한과 상관없이 민감하거나 중요한 자원에 접근 통제하.. 2024. 4. 29. [웹보안] 인터넷 해킹과 보안 연습문제 2장 인터넷 해킹과 보안 4판김경곤 한빛아카데미1. 시스템에 침투하는 일반적인 해킹 과정- 공격 대상 선정 - 정보 수집 - 취약점 분석 - 공격 - report, defacement, 흔적 제거 등 2. 구글의 고급 검색 기능 중 페이지 제목에 검색 문자가 포함된 사이트를 찾는 것은- intitle: 3. 웹 사이트를 조사하는 도구로 대표적인 웹 프록시 툴은- 웹 사이트 탐색 분석을 위한 자동화 도구 Burp Suite 4. 구글 검색 엔진의 검색을 피하기 위해 robots.txt 파일에 작성해야하는 두 가지 요소가 무엇인가. 예시..? 5. OWASP 탑 10의 2017과 2021 버전에서 수정된 항목6. OWASP 탑 10 2021 버전에서 언급한 상위 3개의 위험- 국제 웹 보안 표준 기구 2024. 4. 29. [웹보안] 인터넷 해킹과 보안 연습문제 1장 인터넷 해킹과 보안 4판김경곤 한빛아카데미# 1장 1. 2노드 간 상호 연결을 최초로 성공시킨 연도와 인물- 1969년 너드 클라인록 2. 프로토콜에 대한 상세한 내용을 담고 있는 문서- RFC 3. DNS와 IP 주소, 프로토콜 번호와 매개변수 배정 등을 관리하며 DNS 루트 네임 서버 시스템의 개선 및 운영을 담당하는 기관- 국제인터넷주소관리기구 ICANN 4. 인터넷에 영향을 미칠 수 있는 관세 문제를 다루고 정보통신 네트워크에 대한 기술적인 표준과 운영 표준을 발행하는 기관- 국제전기통신연합 ITU 5. 웹 서버에 데이터를 보낼 때 인수를 이용하는 요청 방식- GET (POST는 인수를 URL에 노출하지 않음) 6. 클라이언트 측의 에러를 나타내는 http 상태 코드- 400번대 * 상태 코드 1.. 2024. 4. 29. 이전 1 ··· 20 21 22 23 24 25 26 ··· 36 다음 728x90
