Chap.1

01.

2노드간 상호 연결을 최초로 성공시킨 연도와 인물을 바르게 나열한 것은?

1969년. 레너드 클라인록

02.

프로토콜에 대한 상세한 내용을 담고 있는 문서는 무엇인가?

RFC

03.

DNS와 IP주소, 프로토콜 번호와 매개변수 배정등을 관리하며, 머 어쩌구 관리 기관?

국제 인터넷 관리 기구 ( ICANN)

04.

인터넷에 영향을 미칠 수 있는 관세문제, 정보 통신 네트워크에 대한 기술적인 표준을 발행하는 기관?

국제 전기 통신 연합 ( ITU )

05.

최초의 인터넷 망?

ARPANET

06.

인터넷 프로토콜의 개념? 예시?

인터넷 프로토콜이란 인터넷 상에서 정보를 원활히 주고 받기 위한 인터넷 통신 규약
예시로는 TCP/IP가 존재
TCP는 데이터를 원활히 주고 받기 위한 규약
IP는 인터넷 주소에 대한 규약

07.

인터넷 이용과 기술에 관한 국제적인 협조와 협력을 추진하기 위해 1992년 설립된 비영리 단체?

인터넷 소사이어티 ( ISOC )

Chap.2

05.

웹 프록시의 동작 원리?

웹 프록시는 서버와 클라이언트 사이에 위치해서 클라이언트와 서버로부터 data를 받고 전송해주는 중간자 역할을 한다. 그래서 data 패킷을 중간에서 살펴볼 수 있다.

06.

get, post 차이?

get은 url에 data를 명시해서 정보를 전송하고 받는다. post는 body영역에 data를 작성하고 socket을 이용하여 보내기 때문에 get에 비해서 안전하다.

07.

웹 application 기술에는 어떤 것이 있는가?

server : ASP, JSP, PHP, 아파치 , MySQL, 오라클

client : HTML5, JS

Chap.3

01.

시스템에 침투하는 일반적인 해킹 과정을 바르게 나열한 것

공격 대상 선정 -> 정보수집 -> 취약점 분석 -> 공격

02.

구글의 고글 검색 기능 중 특정 도메인으로 지정한 사이트에서 검색 결과를 얻을 수 있는 검색 인수는?

site:

03.

hankuk.ac.kr 이라는 사이트에서 admin 문자열을 찾는 구글 검색 키워드는?

site:hankuk.ac.kr admin

04.

웹 해킹을 하기 위해 정보를 수집하는 세 가지 방법

1. web proxy browser를 이용
2. 검색 엔진을 통해 정보 수집
3. Scanning tool을 이용

05.

구글 검색 엔진의 검색을 피하기 위해 robots.txt 파일에 작성해야 하는 내용?

user-agent: googlebot

06.

OWASP TOP 10 - 2013년에서 언급된 상위 세 개의 취약점?

1. 인젝션 취약점
2. 크로스 사이트 스크립팅
3. 인증 및 세션 관리 취약점

Chap.4

03.

접근 통제 유형 중에서 일반 사용자가 접근할 수 있는 정보와 상위 관리자가 접근할 수 있는 정보에 각기 다른 접근 권한을 부여하는 것은?

수직적 접근 통제

04.

인증을 하기 위해 사용하는 네가지 방법

1. 알고있는 것
2. 갖고 있는 것
3. 그 자체
4. 위치

05.

접근 통제의 세가지 유형?

수직적, 수평적, 비지니스 로직

Chap.5

01.

다음 중 SQL DML(데이터 조작 언어)이 아닌 것은?

SELECT

02.

다음 중 SQL DDL(데이터 정의 언어)가 아닌 것은?

DELETE

05.

다음 중 오라클에서 사용자 정의 테이블을 가져오는 SQL 구문?

SELECT tname FROM sys.tab

06.

SQL 인젝신 취약점이 발생하는 원인?

SQL 구문에 대해서 검증을 하지 않기 때문에 입력 값에 'or' 1=1 같은 구문을 넣으면 true로 인식해서 로그인에 성공하게 된다. 이런 SQL 인젝션은 매우 쉽고 성공률이 높은 공격이다.

07.

Microsoft SQL Server 에서 관리자 권한으로 윈도우 명령어를 실행할 수 있는 저장 프로시져?

xp_cmdshell

deafult는 xp_cmdshell이 비활성화. 그래서 켜주어야 한다.

EXEC sp_configure 'show advanced options',1
RECONFIGURE

EXEC sp_configure 'xp_cmdshell',1
RECONFIGURE

08.

Microsoft SQL Server에서 admin table column을 가져오는 SQL 구문?

SELECT name FROM syscolumns 
WHERE id=( SELECT id FROM sysobjects WHERE name='admin')

09.

오라클에서 system 사용자와 패스워드 정보를 가져오는 SQL 구문?

SELECT name,password FROM sys.user$ WHERE type#=1

Chap.6

03.

XSS란?

cross-site-scripting

06.

XSS 설명

동적 생성 웹 사이트에 악의적인 script를 넣어서 사용자가 웹 사이트에 들어갔을 때 삽입한 스크립트가 실행되게 함으로서 사용자의 정보를 갈취하는 방법

07.

XSS 취약점이 생기는 이유?

web application은 사용자의 신원 확인이 끝나면 매 기능마다 인증을 받지 않아도 이용하게 해줄 수 있는 쿠키를 발행한다. 이 쿠키에는 개인 정보가 담겨져 있기에 해커는 XSS 등의 공격을 이용하여 이 쿠키를 갈취한다.

08.

XSS공격의 두가지 유형과 각각의 동작 원리?

1. Stored XSS : 게시판 또는 자료실과 같이 사용자가 글을 저장하는 부분에 정상적인 평문이 아닌 스크립트 코드를 입력하는 방법

2. Reflected XSS : 웹 애플리케이션에 스크립트를 저장하는 것이 아니라 URL의 변수 부분처럼 스크립트 코드를 입력하는 동시에 결과가 바로 전해지는 공격 기법

09.

사용자의 쿠키 정보를 화면에 띄우는 XSS 공격 코드?

<script> alert(document.cookie) </script>

Chap.7

01.

웹 애플리케이션의 외부 구조나 인터페이스를 보는 것이 아니라 개발된 소스코드를 살펴봄으로써 코딩의 취약점을 찾는 방식?

White Box Testing

-> 살펴보지 않는 것은 Black Box Testing

02.

웹 애플리케이션에서 발생하는 취약점의 유형을 체계적으로 정리하여 발표하는 조직?

OWASP

03.

소스코드 취약점의 대표적인 유형

입력값 검증 취약점
세션 처리 및 접근 통제 취약점
코드 내 중요 정보 노출 취약점

아닌 것 : 패스워드 설정 취약점

05.

웹 어플리케이션의 보안 취약점을 찾는 두가지 방식

1. White Box Testing

소스코드를 보고 취약점을 찾는 방식. 너무나 많은 시간이 걸린다는 단점

2. Black Box Testing

소스코드를 보지 않고 인터페이스나 구조를 분석하여 취약점을 찾는 방식

06.

세션 처리 및 접근 통제 취약점?

개발 단계에서 사용자 권한에 대한 검증을 적절하게 수행하지 않았을 때 주로 발생.
공격자는 매개변수 조작이나 강제 브라우저 접근 등을 통해 다른 사용자나 상위 관리자의 정보를 볼 수 있다.