問題一覧
1
3
2
1
3
3
4
3
5
2
6
4
7
4
8
2
9
2
10
1
11
3
12
1
13
4
14
4
15
3
16
3
17
1
18
2
19
1
20
1
21
웹쉘(webshell)
22
프록시(proxy)
23
200, 300, 403, 404
24
SQL Injection XSS command Injection
25
SQL Injection file download 공격 XSS
26
192.168.137.1 192.168.137.128 200 225 GET
27
웹 서버 취약점 : 디렉터리 리스팅, 관리자 페이지 노출, 위치 공개, 웹서비스 메소드설정공격 웹 애플리케이션 취약점 : SQL Injection, XSS, CSRF, file upload, file download 취약점 등
28
Paros : 프록시(proxy) 도구 NBSI : SQL Injection 공격도구
29
SSH : 암호화 기법을 사용하여 안전한 통신수단 S/MINE : 전자 우편 내용을 보호하기 위한 수단
30
user라는 테이블에서 username이 algisa인사용장이 paasword 정보를 확인하는 쿼리
31
SQL Injection 데이터베이스 : algisa_db, 테이블 : member algisa_db 데이터베이스, member 테이블을 통해 ID, PASS 정보를 탈취한 것으로 판단
32
관리체계 수립 및 운용 보호대책 요구사항 개인정보 처리단계별 요구사항
33
Cross Site Scripting / Script 공격기법 : 공격용 악성 스크립트를 서버측 또는 URL에 미리 삽입해놓고 개인브라우저에서 실행되게 함으로써 공격하는 기법 대응방안 : HTML 태그가 실행되지 않도록 문자열 치환
34
XSS : 세션 탈취가 목적, 사용자를 주로 공격, 스크립트 실행이 목적 CSRF : 사이트간 요청 위조, 서바를 주로 공격, 특정행동을 유도 공통점 : 악성 스크립트 사용
35
CSRF(Cross Site Request Forgery)
36
파일 타입 및 확장자 검증 파일 개수나 크기 적절한 제한 서버 사이드 스크립트 파일이 실행되지 않도록 설정
37
인젝션, 취약한 접근제어, 잘못된 암호, SSRF
38
Structured Query Language 사용자 입력값이나 URL 응답 등이 포함되는 파라미터에 악의적인 시스템 명령 또는 SQL 구문을 삽입하여 공격하는 기법 [']["][#][;][--] 입력, [' or 1=1] 입력
39
CVE : Common Vulnerabilities and Exposure 알려진 보안 취약점 목록의 체계, 발견된 보안 취약점 목록을 정리하고 공유 CWE : Common Weakness Enumeration 소프트웨어 취약한 유형을 정향화한 목록을 소프트웨어 개발자 및 보안 관계자에게 제공