정보보안개론 개정3판

  • 7. 정보보안개론 개정3판 연습문제 7장
  • 6. 정보보안개론 개정3판 연습문제 6장
  • 5. 정보보안개론 개정3판 연습문제 5장
  • 4. 정보보안개론 개정3판 연습문제 4장
  • 3. 정보보안개론 개정3판 연습문제 3장
  • 2. 정보보안개론 개정3판 연습문제 2장
  • 1. 정보보안개론 개정3판 연습문제 1장

정보보안개론 개정3판 연습문제 4장

3개월, 4주 전
@mildsalmon

흔치않고, 진귀하다.

1 ③ ARPA
설명 : 1969년 미국 국방부 산하 고등연구계획국인 ARPA가 전 세계 주요 거점을 연결하는 네트워크를 만들었다. ARPA -> DARPA -> Internet으로 발전함

2 ① GET 방식
설명 : GET 방식의 특징은 홈페이지의 파일명 다음에 ?매개변수명=값&~ 이런 방식으로 전송된다. 보통 보안이 필요없는 게시글 목록(?page=1)같은 속도가 중요한 부분에서 많이 사용한다.

3 ② C++
설명 : 동적인 서비스를 제공하는 언어는 JSP, ASP, PHP, 자바스크립트이고, 서버 측 웹 스크립트 언어는 JSP, ASP, PHP이다.
최근 자바스크립트도 웹 서버 프로그램에서 사용할 수 있게 되었다고 한다.
어쨌든 C++은 아니다. 파이썬이 보기에 있었으면, 많이 고민했을 수도 있겠다.

4 ② site

5 ② robots.txt

6 계정 로그인과 같은 DB에 SQL문을 보통 'SELECT FROM (테이블명) WHERE (조건)'으로 쿼리를 전송한다. 이때 WHERE의 조건 부분을 항상 참이 되게 조작할 수 있다면 공격이 가능하다.
'or''=' 을 입력하면 기존 'SELECT
FROM (테이블명) WHERE ~=''or''=''으로 쿼리가 조작되어서 비밀번호를 입력하지 않아도 로그인할 수 있다.

7 ② ‘or‘1’=’
설명 : or를 사용하는 이유는 (거짓 or 참이면 참)을 활용하기 위해서이다. 그래서 or 앞에 내용이 참이든 거짓이든 참을 반환하려면 ‘1’=‘ 부분이 참 이여야 한다. 수정하면 'or'1'='1이 SQL 인젝션을 가능하게 한다.

8 클라이언트에서 정상적으로 접근해서 세션 인증 값을 받으면 UserNo같은 데이터를 변경해도 세션으로만 인증을 수행하므로 다른 계정으로 로그인한 것처럼 이용할 수 있다.

9 ① 쿠키

10 ㉡ ㉠ ㉤ ㉣ ㉢

11 ① ..
설명 : ..은 상위 디렉터리를 의미한다.

12 ③ 디렉터리 리스팅

13 리버스 텔넷에 대해 간단히 설명하시오.
웹 해킹으로 시스템 권한을 획득한 후 해당 시스템에 텔넷과 같이 직접 명령을 입력하고 확인할 수 있는 셸을 획득하기 위한 방법이다.
방화벽의 인바운드 정책은 80번 포트를 제외한 나머지는 다 막아두지만, 아웃바운드 정책은 크게 인바운드 정책에 비해 허술한 경우가 많다. 그래서 공격자가 정상적으로 서버에 접속해서(인바운드 정책을 통과해서) 서버에 웹 셸을 설치하고, 서버에서 텔넷(23번)으로 공격자와 접속한다.

14 ③ 클라이언트 통제 적용
설명 : 웹 취약점을 보완하는 방안은 특수문자 필터링, 서버 통제 적용, 지속적인 세션 관리이다.

작성된 댓글이 없습니다!
로그인된 사용자만 댓글을 작성할 수 있습니다.