본문 바로가기
주메뉴 바로가기
이동할 직렬을 선택해주세요.
지안에듀의 문제은행을 실전처럼 활용해보세요.
총 20문제가 검색되었습니다.
리눅스 시스템의 /etc/shadow 파일 내용에서 패스워드의 최종 변경일에 해당하는 것은?
15917
99999
7
16070
PKI에 대한 설명으로 옳지 않은 것은?
인증기관(CA), 등록기관(RA), 키 분배 센터(KDC)로 구성된다.
이용자는 공개키를 이용하기 전에 CA의 인증서 폐기 목록(CRL)을 조사해서 해당 인증서의 유효성을 확인할 필요가 있다.
CA의 공개키에 대해 다른 CA가 디지털 서명을 하는 것으로 그 CA의 공개키를 검증할 수 있다.
CA의 개인키가 노출된 경우에는 그 사실을 CRL을 사용해서 이용자에게 통지할 필요가 있다.
① PKI는 인증서의 발급⋅사용 및 취소와 관련 서비스를 통해 기밀성, 무결성, 접근제어, 인증, 부인방지의 보안서비스를 제공하며, 인증기관⋅등록기관⋅디렉터리 서비스⋅사용자 등의 요소로 구성된다.(KDC는 구성요소에 포함 안됨)
인증을 받은 사용자가 여러 정보 시스템에 재인증 절차 없이 반복해서 접근할 수 있도록 해주는 것은?
OTP
SSO
Challenge & Response
CAPTCHA
② SSO(Single Sign On)는 다수의 서버가 존재하는 업무환경에서 하나의 시스템에 인증을 성공하게 되면 다른 시스템에 대한 접근 권한을 얻게 되도록 하는 통합 인증 시스템이다.•자동 계정 생성 방지 기술(Completely Automated Public Test to tell Computers and Humans Apart, CAPTCHA)은 사용자 인증 방법이다. 자동 계정 생성 방지 기술은 사람은 풀 수 있지만 기계적인 프로그램은 쉽게 풀지 못하는 인지적 단계의 퍼즐을 제공하는 방식으로 아주 단순한 단어를 무작위로 골라 글자를 약간 훼손시킨 뒤 복잡한 배경 화면 위에 표시하거나, 그림을 주고 그 그림에 쓰여 있는 내용을 물어보는 방법이 흔히 사용된다.
공격 대상이 되는 서버에서 먼저 공격자 PC로 연결하게 하여 방화벽 보안 정책을 우회하는 공격은?
리버스 텔넷
쿠키 변조
명령 삽입
파일 업로드
① 리버스 텔넷(Reverse Telnet) 기술은 웹 해킹을 통해 시스템의 권한을 획득한 후 해당 시스템에 텔넷과 같이 직접 명령을 입력하고 확인할 수 있는 셸을 획득할 때 쓰는 방법으로, 방화벽이 존재하는 시스템을 공격할 때 자주 사용된다.
(가)~(다) 안에 들어갈 용어를 바르게 연결한 것은?
① 함수 P가 함수 Q를 호출하는 경우 반환주소와 P의 스택 프레임 포인터를 스택에 넣는다. 프레임 포인터는 이후 스택의 새로운 기준점(Bottom)이 되고, 스택 포인터(Top)는 지역변수 등을 저장하면 이동한다. 버퍼 오버플로우 공격은 리턴 시에 반환주소와 스택 프레임 포인터를 덮어쓰면서 발생하게 된다.
FTP에 대한 설명으로 옳지 않은 것은?
데이터 연결 시 평문으로 데이터를 전송한다.
데이터 연결은 송․수신 모두 지정된 포트 20번을 통해서만 가능하다.
사용자 계정의 패스워드는 암호화되지 않은 상태로 전달된다.
FTP를 이용하여 클라이언트는 서버의 파일을 읽고 서버에 파일을 저장할 수 있을 뿐만 아니라 서버의 파일 목록을 볼 수도 있다.
② 서버가 데이터 연결 시 능동 모드에서는 20번 포트를 사용하고, 수동 모드에서는 1024번 이후 포트를 사용한다.•사용자 계정의 패스워드가 암호화되지 않은 상태로 전달되고, 데이터 연결 시 평문으로 데이터를 전송하는 것은 FTP의 단점이다.
SQL 뷰에 대한 설명으로 옳지 않은 것은?
사용자가 뷰를 통해서만 데이터에 접근하게 함으로써 기본 테이블에 대한 보안성을 높일 수 있다.
뷰가 정의된 기본 테이블이 확장되거나 뷰가 속해 있는 데이터베이스에 테이블이 늘어난다고 하더라도 기존의 뷰를 사용하는 프로그램이나 사용자는 영향을 받지 않는다.
필요한 데이터만 뷰로 정의해서 처리할 수 있기 때문에 사용자 권한 관리가 용이하다.
대부분의 경우 삽입, 삭제, 갱신 연산에 많은 제한이 따르며 질의문이 복잡해지는 단점이 있다.
리눅스에서 제공하는 특수 권한에 대한 설명으로 옳지 않은 것은?
숫자로 나타내면 접근 권한의 맨 앞자리에 Set-UID는 4, Set-GID는 2, Sticky-Bit는 1로 표현된다.
Set-UID를 설정하면 소유자 실행 권한 자리에, Set-GID를 설정하면 그룹 실행 권한 자리에 s 혹은 S가 표시된다.
Sticky-Bit는 공유를 목적으로 파일에 설정하는 특수 권한으로, 설정 시 소유자 실행 권한 자리에 t 혹은 T가 표시된다.
Set-UID가 설정된 파일이 실행되는 동안에는 파일을 실행한 사용자의 권한이 아니라 파일 소유자의 권한이 적용된다.
③ Sticky bit가 부여된 디렉터리는 일반적으로 소유자가 아닌 그 외 사용자(other)의 실행 권한이 x에서 t로 변경된다.•일반적으로 공유 디렉터리(/tmp, /var/tmp 등)는 모든 사용자가 이용할 수 있도록 user, group, other에 rwx 권한을 부여한다. 문제는 다른 사용자가 만든 파일을 누구나 삭제 또는 파일명 변경을 할 수 있다는 점이다. 따라서 자유롭게 파일을 생성하되 파일 삭제나 파일명 변경은 소유자만이 가능하도록 할 필요가 있는데 이러한 목적으로 사용되는 특수권한비트가 sticky-bit이다.
다음에서 설명하는 웹 취약점 점검 방법과 해당 취약점을 바르게 연결한 것은?
② 경로 추적, 사이트 간 스크립팅, 불충분한 세션 관리 취약점에 대한 설명이다. •경로추적 취약점은 웹 어플리케이션 서버의 파일 또는 디렉터리에 대한 접근이 제한적이지 않고 허용이 되어 있어 해커로부터 경로가 탈취되어 중요 정보획득 및 변조가 가능한 취약점이다.•사이트 간 스크립팅(XSS) 공격은 게시판이나 웹 메일 등에 악의적인 스크립트를 삽입함으로써 사용자의 쿠키 및 기타 개인정보를 특정 사이트로 전송하게 하거나 악성파일을 다운로드하여 실행하도록 하는 공격이다.•불충분한 세션 관리 취약점은 웹상에서 사용자가 로그인할 때, 매번 동일 세션ID(일정 패턴 존재) 발급 또는 세션 타임아웃을 너무 길게 설정한 경우 공격자에 의해 세션이 탈취될 수 있는 취약점이다.
보안 요구 조건을 명세화하고 평가 기준을 정의하기 위한 ISO 표준인 공통 기준(CC)에서는 요구 조건을 기능적 요구 조건과 보증 요구 조건으로 나누고 있다. 기능적 요구 조건에 해당하지 않는 것은?
식별과 인증
암호 지원
