93. Secure 코딩에서 입력 데이터의 보안 약점과 관련한 설명으로 틀린 것은?
① SQL 삽입 : 사용자의 입력 값 등 외부 입력 값이 SQL 쿼리에 삽입되어 공격
② 크로스사이트 스크립트 : 검증되지 않은 외부 입력 값에 의해 브라우저에서 악의적인 코드가 실행
③ 운영체제 명령어 삽입 : 운영체제 명령어 파라미터 입력 값이 적절한 사전검증을 거치지 않고 사용되어 공격자가 운영체제 명령어를 조작
❹ 자원 삽입 : 사용자가 내부 입력 값을 통해 시스템 내에 사용이 불가능한 자원을 지속적으로 입력함으로써 시스템에 과부하 발생
정답: ❹ 자원 삽입 : 사용자가 내부 입력 값을 통해 시스템 내에 사용이 불가능한 자원을 지속적으로 입력함으로써 시스템에 과부하 발생 (틀린 설명)
📌 해설
보안 취약점 중에서 입력 데이터와 관련된 약점들은 다양한 공격을 발생시킬 수 있습니다. 주어진 선택지에서 자원 삽입에 대한 설명이 틀린 부분입니다.
정확한 보안 취약점 설명
- ① SQL 삽입 (SQL Injection):
- SQL 삽입은 공격자가 사용자의 입력 값을 조작하여 SQL 쿼리를 변경하고, 이를 통해 데이터베이스에 대한 불법 접근이나 데이터 탈취를 할 수 있게 되는 취약점입니다.
- 예를 들어, 사용자가 입력하는 로그인 정보에서 ' OR '1'='1와 같은 값을 삽입하여 쿼리의 조건을 우회하거나 변경합니다.
- 정확한 설명입니다.
- ② 크로스사이트 스크립트 (XSS - Cross-Site Scripting):
- **크로스사이트 스크립트 (XSS)**는 사용자가 입력한 데이터가 적절히 검증되지 않은 경우, 악성 스크립트가 웹 페이지에 삽입되어 다른 사용자의 브라우저에서 실행되는 취약점입니다.
- 예를 들어, 댓글을 남기는 곳에 자바스크립트 코드를 삽입하여 다른 사용자가 이를 실행하도록 유도합니다.
- 정확한 설명입니다.
- ③ 운영체제 명령어 삽입 (Command Injection):
- 운영체제 명령어 삽입은 사용자 입력이 운영체제 명령어로 전달되기 전에 적절한 검증이 이루어지지 않으면, 공격자가 악의적인 명령어를 삽입하여 서버의 명령어를 조작하는 취약점입니다.
- 예를 들어, 웹 애플리케이션에서 사용자가 입력한 값이 바로 운영체제 명령어로 실행되는 경우, 이를 통해 서버의 파일 시스템을 조작할 수 있습니다.
- 정확한 설명입니다.
❌ 틀린 설명 (정답 ❹)
🔴 ❹ 자원 삽입 : 사용자가 내부 입력 값을 통해 시스템 내에 사용이 불가능한 자원을 지속적으로 입력함으로써 시스템에 과부하 발생 (X)
- 이 설명은 **"자원 삽입"**이라는 공격 기법에 해당하지 않습니다. 이 설명은 자원 고갈 공격(Resource Exhaustion Attack) 또는 서비스 거부 공격(DoS)에서 발생할 수 있는 현상입니다.
- 자원 고갈 공격은 사용자가 시스템에 과도한 요청을 보내거나 시스템에 불필요한 작업을 반복하여, 서버의 자원을 소모시켜 시스템 과부하를 일으키는 공격입니다.
- 하지만 **"자원 삽입"**은 특정한 보안 취약점으로 정의되지는 않으며, 주로 자원 고갈 공격(예: DoS 공격)으로 이해됩니다.
📌 정리
- SQL 삽입, 크로스사이트 스크립트, 운영체제 명령어 삽입은 모두 입력 데이터의 검증 부족으로 발생할 수 있는 보안 취약점입니다.
- **"자원 삽입"**이라는 용어는 보안 취약점으로 일반적으로 사용되지 않으며, 자원 고갈 공격으로 더 적합한 설명입니다.
정답: ❹
반응형
'기출문제 > 정보처리기사' 카테고리의 다른 글
| 2022년 1회 정보처리기사 기출문제 95번 (0) | 2025.03.10 |
|---|---|
| 2022년 1회 정보처리기사 기출문제 94번 (0) | 2025.03.10 |
| 2022년 1회 정보처리기사 기출문제 92번 (0) | 2025.03.10 |
| 2022년 1회 정보처리기사 기출문제 91번 (0) | 2025.03.10 |
| 2022년 1회 정보처리기사 기출문제 90번 (0) | 2025.03.10 |