애플리케이션보안 썸네일형 리스트형 정보보안기사 애플리케이션보안(3) 1. 디렉터리 인덱싱 : 서버의 미흡한 설정으로 인해 인덱싱 기능이 활성화 되어 있을 경우, 공격자가 강제 브라우징을 통해 모든 디렉터리 및 파일에 대해 인덱싱이 가능하여 주요 정보가 노출 될 수 있는 취약점 - 대응책 ㄱ. httpd.conf 환경설정 Options -Indexs => 제한할 디렉터리에 Options 지시자의 Indexs 설정을 제거(-) 2. 웹 서비스 메소드 설정 취약점 : PUT, DELETE, OPTIONS 등의 불필요한 메소드 허용할 경우, 웹 서버 파일을 생성하거나 삭제 및 수정이 가능한 취약점 - 대응책 ㄱ. httpd.conf 환경설정 : LimitExcept 지시자를 이용하여 메소드 제한 3. 관리자 페이지 노출 취약점 : 전반적인 기능 설정 및 회원 관리를 할 수 있는.. 더보기 정보보안기사 애플리케이션보안(2) 1. SQL Injection 취약점 : 웹 애플리케이션에서 입력 받아 DB로 전달하는 정상적인 SQL 쿼리를 변조, 삽입하여 불법 로그인, DB데이터열람, 시스템명령 실행 등을 수행하여 비정상적인 DB 접근을 시도하는 공격 기법 : 조작한 입력으로 DB를 인증 절차 없이 접근 및 자료를 무단 유출, 변조 : MySQL => ~ where id =' ' or 1=1# MsSQL => ~ where id =' ' or 1=1-- Oracle => ~ where id = ' ' or 1=1-- 1) Union SQL Injection : 2개 이상의 SELECT문을 결합하고자 할 때 사용, SELECT문의 필드 개수가 같아야 하며, 필드 타입이 호환 가능해야 한다. : 한 쿼리의 결과를 다른 쿼리의 결과에 .. 더보기 정보보안기사 애플리케이션 보안(1) 1. DNS 1) 구조 ㄱ. Recursive 네임/DNS 서버 : 사용자 호스트로부터 질의가 들어오면 자신의 캐시에 저장된 정보 또는 반복적 질의를 통해 그 결과를 사용자 호스트에 응답해주는 네임서버 : ISP 업체 : 사용자 -> Recursive 네임서버 => 재귀적 질의 ㄴ. Authoritative 네임/DNS 서버 : 특정 도메인에 대한 정보를 관리하면서 해당 도메인에 대한 질의만 해주는 네임서버 : 네임서버가 관리하는 도메인 영역을 존이라하고 관리 도메인에 대한 정보를 담고 있는 파일을 존 파일이라 한다. : 각 회사/사이트별로 자신의 도메인을 관리하는 DNS 서버 : Recursive 네임서버 -> 각 도메인 관리 네임서버 => 반복적 질의 2) 동작방식 ㄱ. 사용자 호스트가 Recursi.. 더보기 이전 1 다음
