시험 난이도 : 매우 쉬움 공부 방법 : 네이버 클라우드 무료 강의 2회독 + 기출 문제 2회독(기출문제가 중요) 기출 문제 필요하시면 댓글로 이메일 적어주시면 보내드리겠습니다. 공부 기간 : 4일(하루 2시간 정도) 네이버 클라우드 지식은 전무, 다만 네트우크/보안에 대한 지식은 어느정도 보유

웹 어플리케이션에서 사용자 입력값에 대한 필터링이 제대로 이루어지지 않을 경우, 공격자가 입력이 가능함 폼(웹 브라우저 URL 또는 게시판 등)에 악의전인 스크립트를 삽입, 해당 스크립트가 희생자 측에서 동작하도록 하여 악의적인 행위를 수행하게 하는 취약점 공격자는 취약점을 이용하여 사용자의 개인정보 및 쿠키정보 탈취, 악성코드 감염, 웹 페이지 변조 등의 공격을 수행 크게 3가지 유형으로 구분 Stored XSS(저장형 XSS), Reflected XSS(반사형 XSS), DOM based XSS(DOM 기반 XSS) Stored XXS 공격자가 취약한 웹서버에 악성 스크립트를 저장해 놓으면 희생자가 해당 자료를 요청할 때 해당 악성 스크립트가 삽입된 응답 페이지가 전달되어 클라이언트 측에서 동작 악성..

"위와 같이 가끔 사이트 보안 인증서에 대한 해지 정보를 사용할 수 없습니다." 구문이 출력되면서 해당 페이지 또는 어플리케이션이 실행되지 않습니다. 해당 이슈가 발생하는 이유(두 조건 모두 만족해야 발생) 폐쇠망(특정 IP, 포트가 열려있는 망에도 해당) 인터넷 옵션 → "서버의 인증서 해지 확인* "이 활성화 돼 있을 시 해결 방법 "서버의 인증서 해지 확인" 비활성화 방화벽에서 특정 서버 IP 오픈(CRL 인증성 서버 IP 오픈) 해당 추측의 근거 특정 서버 접근 또는 특정 서버 접근을 위한 어플리케이션을 사용할 때 "인증서 해지"가 활성화 돼 있으면 CRL 서버로 인증서 목록을 체크하려고 CRL 서버에 접근을 합니다. 하지만 패킷을 보면 해당 사용자 PC에서 CRL 서버로 접근할 수 없습니다.(방..

SQL Injectiond이란? 웹 어플리케이션에서 입력 받아 데이터베이스로 전달하는 정상적인 SQL 쿼리를 변조 삽입하여 불법 로그인, DB 데이터 열람, 시스템 명령 실행 등을 수행하여 비정상적인 데이터베이스 접근을 시도하는 공격 기법 조작한 입력으로 데이터베이스를 인증 절차 없이 접근 및 자료를 무단으로 유출하거나 변조 가능 DB에 악성 스크립트를 삽입하여 접근하는 사용자를 피싱 사이트 또는 악성코드 유포 사이트로 유도 Stored Procedure(저장된 프로시저)를통한 OS 명령어 실행 DB에 있는 개인정보 취득 **SQL Injection 취약점 스캐너 Nikto : GUI 기반 오픈소스로 웹서버 및 SQL Injection에 대한 취약점 점검(리눅스 기반) SQLMap : 블라인드 SQL I..