• 파일시티 이벤트
  • LF몰 이벤트
  • 서울좀비 이벤트
  • 탑툰 이벤트
  • 닥터피엘 이벤트
  • 아이템베이 이벤트
  • 아이템매니아 이벤트

모의해킹 컨설턴트 면접질문 총정리-웹 편

daechi
개인인증판매자스토어
최초 등록일
2019.07.22
최종 저작일
2019.07
31페이지/ 어도비 PDF
가격 3,000원 할인쿠폰받기
다운로드
장바구니

* 본 문서는 PDF문서형식으로 복사 및 편집이 불가합니다.

소개글

모의해킹 직무에 도전하고자 하는 분들에게 가장 중요한 Point는
웹에 대해 얼마나 이해하고 있는지 실제 프로젝트에 투입될 준비가 되었는지다.
이번 웹 편에서 정리본을 자기것으로 만든다면 더할 나위 없을것.

추가로 자가답변 리스트 메뉴를 넣어 종합적(웹/모바일, 네트워크 등)으로 면접 질문이 어떻게 나오는지 확인하는 것은 현장감을 느낄 수 있음

목차

1. 개요
1.1. 목적
1.2. 수행 인력

2. 모의해킹 웹 해킹 이해하기
2.1. OWASP TOP 10
2.1.1. 정리리스트
2.1.2. 추가 질문 QnA
2.1.3. 자가답변 리스트
2.1.4. 실제 면접 프로세스

본문내용

2. 모의해킹 웹 해킹 이해하기
2.1. OWASP TOP 10
2.1.1. 정리리스트
2.1.1.1. SQL Injection

SQL Injection

개요
DB 를 제어하는데 사용하는 언어인 SQL 를 사용자 입력 데이터에 포함시켜 공격가능한 취약점

원인
(1) 사용자 입력 값에 대해 서버측 검증 미흡
(2) 부적절한 설정(에러메시지, DB 설정)

진단포커스
DB와 상호작용하는 곳(회원가입폼, 로그인폼, 게시판, 검색 등)

진단단계
특수문자 및 SQL 을 삽입한다. 왜? 서버단에 전송되는 SQL 사용유무 확인
#1 특수문자로 서버측 SQL 쿼리 방해
#2 논리오류 발생
#3 뒤의 조건문 주석처리
#4 결과 발생(해당쿼리 무조건 true)

진단종류
Logic-based (특수문자 입력 가능시)
Union (여러쿼리를 실행해 하나의 쿼리로 결과값을 반환)
Blind Injection(Error-based, Timed-based) (시각적 결과없을때)

피해
1. 인증우회
2. DB스키마 노출
3. 중요정보(DB데이터) 노출
4. DB변조
5. 명령(Command)실행
6. 관리자 권한 상승

대응방안
1.서버사이드
-입력 값 검증 - 특수문자 인코딩처리
- 블랙리스트 / 화이트리스트 사용(sql query)
- 쿼리길이 제한
- ORM 구조사용
- 저장프로시저 사용(동적SQL 방어)
- 자바 PrepareStatement사용
2.웹방화벽
- 오용탐지
- 시그니쳐 탐지
3.DB
-권한 : 사용자별 제한, 접근별 제한
- SU 계정 사용금지
-Limit사용
4.웹서버
-에러메시지 노출X

2.1.1.2. 인증 및 세션관리

인증 및 세션 관리

개요
사용자 인증과정 그리고 인증 후 세션관리 미흡에 의한 취약점

진단포커스
1. 암호키
2. 세션쿠키 탈취
3. 기타 인증 프로토콜
4. passwd 폼

진단단계
>>쿠키변조
>>쿠키 재사용
>>BruteForce
daechi
판매자 유형Bronze개인인증

주의사항

저작권 자료의 정보 및 내용의 진실성에 대하여 해피캠퍼스는 보증하지 않으며, 해당 정보 및 게시물 저작권과 기타 법적 책임은 자료 등록자에게 있습니다.
자료 및 게시물 내용의 불법적 이용, 무단 전재∙배포는 금지되어 있습니다.
저작권침해, 명예훼손 등 분쟁 요소 발견 시 고객센터의 저작권침해 신고센터를 이용해 주시기 바랍니다.
환불정책

해피캠퍼스는 구매자와 판매자 모두가 만족하는 서비스가 되도록 노력하고 있으며, 아래의 4가지 자료환불 조건을 꼭 확인해주시기 바랍니다.

파일오류 중복자료 저작권 없음 설명과 실제 내용 불일치
파일의 다운로드가 제대로 되지 않거나 파일형식에 맞는 프로그램으로 정상 작동하지 않는 경우 다른 자료와 70% 이상 내용이 일치하는 경우 (중복임을 확인할 수 있는 근거 필요함) 인터넷의 다른 사이트, 연구기관, 학교, 서적 등의 자료를 도용한 경우 자료의 설명과 실제 자료의 내용이 일치하지 않는 경우

이런 노하우도 있어요!더보기

  • 레이어 팝업
  • 프레시홍 - 특가
  • 프레시홍 - 특가
  • 레이어 팝업
  • 레이어 팝업
  • 레이어 팝업
AI 챗봇
2024년 07월 18일 목요일
AI 챗봇
안녕하세요. 해피캠퍼스 AI 챗봇입니다. 무엇이 궁금하신가요?
3:48 오전
New

24시간 응대가능한
AI 챗봇이 런칭되었습니다. 닫기