네트워크 웹보안 - http, robots.txt, xss

4장 연습문제

1. ARPA – 최초의 네트워크(인터넷의 시초)

TCP/IP – 인터넷 핵심 프로토콜 신뢰성을 바탕으로 한 프로토콜

www – 윌드 와이드 웹 웹페이지 표준

 

2. http request 방식

get방식 – 가장 일반적인 http request형태로 웹 브라우저에 다음과 같은 요청 데이터에 대한 인수를 URL을 통해 전송한다.(보안에 취약한 방식이다.)

post방식 – url에 요청 데이터를 기록하지 않고 http 헤더에 데이터를 전송하기 때문에 url 뒷부분의 데이터가 존재하지 않는다.(최소한의 보안성을 갖추고 있다.)

head방식 – 서버 측의 데이터를 검색하고 요청하는데 사용

 

3. 서버 측 웹 스크립트 언어

jsp, asp, php

클라이언트 측 웹 스크립트 언어

js

 

4. 구글 해킹을 통한 정보 수집

site – 특정 도메인으로 지정한 사이트에서 대한 정보를 수집할 때 사용하는 검색인자

filetype – 특정한 파일 유형에 한해서 검색하는 문자가 들어있는 사이트를 찾음

link – 링크로 검색하는 문자가 들어 있는 사이트를 찾음

 

5. 구글 검색 엔진에서 검색을 할 수 없게 하기 위해 만드는 파일

- robots.txt

 

6. 파일 다운로드시 디렉토리를 탐색하여 파일을 다운로드하는 것을 막기 위해 필터링해야 하는 문자열 - ..

 

7. sql 삽입 공격이 가능한 경우에 대해서 간단히 쓰시오.

웹에 입력한 입력 값이 데이터베이스에 대한 쿼리에 사용될 시, 입력값에 대한 예외적인 문자열을 적절히 필터링하지 못하는 경우에 발생한다.

 

8. sql 삽입에 적당한 특수 문자열이 아닌 것은 ‘or’1’=’

 

9. XSS 공격을 수행하기 위한 다음 단계들을 순서대로 나열하라

1 – 임의의 xss 취약점이 존재하는 서버에 xss코드를 작성하여 저장한다.

2 – 해당 웹서비스 사용자가 공격자가 작성해 놓은 xss 코드에 접근한다.

3 – 웹서버는 사용자가 접근한 xss코드가 포함된 게시판의 글을 사용자에게 전달한다.

4 – 사용자 시스템에서 xss코드가 실행된다.

5 – xss 코드가 실행된 결과가 공격자에게 전달되고 공격자는 공격을 종료한다.

 

10. 웹 서버의 세션관리 측면에서 사용자 측 데이터를 이용한 인증으로 인해 발생할 수 있는 문제점

- 사용자 측에 의한 데이터는 사용자에 의해 임의대로 변경되어 사용될 수 있으므로, 서버가 사용자측의 데이터를 이용할 경우 해커는 이를 이용하여 인증을 우회하거나 데이터를 조작할 수 있다.

 

12. 웹사이트에서 각각의 개인을 구별하기 위해 클라이언트에 저장해두는 것은 – 쿠기

비슷한 개념으로 서버에 저장하는 것은 – 세션

 

13. 파일의 목록을 열람할 수 있는 취약점 – 디렉터리 리스팅

- 디렉토리의 목록을 나열하여 보여준다.

 

14. 리버스 텔넷

- 웹 해킹을 통해 시스템의 권한을 획득한 후 해당 시스템에 텔넷과 같이 직접 명령을 입력하고 확인할 수 있는 쉘을 획득하기 위한 방법이다. 공격 대상인 서버에서 공격자인 클라이언트로 텔넷 접속을 넘겨주는 방식으로 텔넷 연결을 생성한다.

 

15. 웹 취약점 보완

* 특수문자필터링

* 서버측통제작용

* 지속적인 세션관리