問題一覧
1
웹쉘(webshell)
2
1
3
관리체계 수립 및 운용 보호대책 요구사항 개인정보 처리단계별 요구사항
4
SQL Injection file download 공격 XSS
5
1
6
프록시(proxy)
7
2
8
CVE : Common Vulnerabilities and Exposure 알려진 보안 취약점 목록의 체계, 발견된 보안 취약점 목록을 정리하고 공유 CWE : Common Weakness Enumeration 소프트웨어 취약한 유형을 정향화한 목록을 소프트웨어 개발자 및 보안 관계자에게 제공
9
CSRF(Cross Site Request Forgery)
10
3
11
2
12
Structured Query Language 사용자 입력값이나 URL 응답 등이 포함되는 파라미터에 악의적인 시스템 명령 또는 SQL 구문을 삽입하여 공격하는 기법 [']["][#][;][--] 입력, [' or 1=1] 입력
13
1
14
3
15
4
16
4
17
1
18
파일 타입 및 확장자 검증 파일 개수나 크기 적절한 제한 서버 사이드 스크립트 파일이 실행되지 않도록 설정
19
200, 300, 403, 404
20
2
21
SQL Injection XSS command Injection
22
192.168.137.1 192.168.137.128 200 225 GET
23
3
24
인젝션, 취약한 접근제어, 잘못된 암호, SSRF
25
3
26
4
27
XSS : 세션 탈취가 목적, 사용자를 주로 공격, 스크립트 실행이 목적 CSRF : 사이트간 요청 위조, 서바를 주로 공격, 특정행동을 유도 공통점 : 악성 스크립트 사용
28
user라는 테이블에서 username이 algisa인사용장이 paasword 정보를 확인하는 쿼리
29
2
30
4
31
Paros : 프록시(proxy) 도구 NBSI : SQL Injection 공격도구
32
1
33
3
34
웹 서버 취약점 : 디렉터리 리스팅, 관리자 페이지 노출, 위치 공개, 웹서비스 메소드설정공격 웹 애플리케이션 취약점 : SQL Injection, XSS, CSRF, file upload, file download 취약점 등
35
Cross Site Scripting / Script 공격기법 : 공격용 악성 스크립트를 서버측 또는 URL에 미리 삽입해놓고 개인브라우저에서 실행되게 함으로써 공격하는 기법 대응방안 : HTML 태그가 실행되지 않도록 문자열 치환
36
SSH : 암호화 기법을 사용하여 안전한 통신수단 S/MINE : 전자 우편 내용을 보호하기 위한 수단
37
1
38
SQL Injection 데이터베이스 : algisa_db, 테이블 : member algisa_db 데이터베이스, member 테이블을 통해 ID, PASS 정보를 탈취한 것으로 판단
39
3