정보시스템감리사.기술사정보

C 코드 int CheckLogin(){ char* _username = (char*) malloc(32); char username[32]; scanf("%s", _username); strcpy(username, _username);} 📌 주요 문제점scanf("%s", _username); → 힙 오버플로우 가능성→ 입력 길이 제한 없이 32바이트 초과 입력 시 malloc(32) 영역 초과strcpy(username, _username); → 스택 오버플로우 가능성→ _username 길이가 32바이트 초과일 경우 username[32] 범위 초과malloc() 실패 시 반환값 NULL → 메모리 접근 위반 가능성🚫 관련 없는 문제점정수 오버플로우 (integer ove..

선택지 분석① PBE는 Java의 java.crypto 패키지에 내장되어 있으며, PGP에서 키를 관리할 때도 사용되고 있다.→ 맞는 설명입니다. Java에서 javax.crypto 패키지를 통해 PBE를 지원하며, PGP에서는 키 암호화 등에 사용될 수 있습니다.② 키를 암호화하는데 사용하는 키(KEK: Key Encryption Key)와 메시지를 암호화하는데 사용하는 키(CEK: Contents Encryption Key)가 필요하다.→ 맞는 설명입니다.PBE에서는 일반적으로 비밀번호에서 KEK를 파생시키고, 이 KEK로 실제 메시지를 암호화하는 CEK를 보호합니다.③ KEK를 생성하는데 솔트(salt) 값을 이용하면 중간자 공격(man-in-the-middle attack)을 방지할 수 있다.→ ..

문제 해설:HTTP 프록시를 사용하는 브라우저가 HTTPS를 접근할 때 동작 방식브라우저는 CONNECT 메서드를 사용하여 프록시 서버에게 대상 서버로의 연결을 요청합니다.→ 즉, HTTPS의 경우 프록시와 직접적인 요청을 하지 않고, 터널링을 통해 브라우저 ↔ 목적지 웹서버 간의 SSL/TLS 통신이 이루어집니다.이때, SSL/TLS 핸드셰이크는 브라우저와 목적지 웹서버 사이에서 직접 수행되며, 프록시 서버는 TCP 레벨에서 단순 중계자 역할만 수행합니다.선택지 검토:가. ✅ CONNECT 메서드는 HTTPS 통신을 위해 HTTP 프록시에 사용하는 메서드 → 맞음나. ❌ GET/PUT/POST는 HTTP에 사용하는 일반적인 메서드이며, HTTPS 요청에서는 프록시에 CONNECT를 사용함 → 틀림다. ..

🔐 개인정보 비식별화 관련 문제다음 중 개인정보 비식별화 방법(조치)으로 가장 적절하지 않은 것은?① 데이터 합성(data synthesis)② 데이터 삭제(data reduction)③ 데이터 범주화(data suppression)④ 총계처리(aggregation) ✅ 정답: ① 데이터 합성(data synthesis) 데이터 합성은 실제 데이터를 기반으로 유사한 가상 데이터를 생성하는 프라이버시 보호 기술(PPET)이며, 전통적인 비식별화 조치로는 간주되지 않음.📌 개인정보 비식별화 기법 정리🔷 1. 속성 비식별화 기법 (Attribute-level De-identification)기법설명예시삭제 (Suppression)일부 값을 완전히 제거이름, 주민번호 삭제마스킹 (Masking)값의 일..

🔐 SW 개발과정에서 발생할 수 있는 취약점 설명문제 요약악성 스크립트가 포함된 URL을 공격자가 클라이언트에게 노출시켜 클릭을 유도하고,쿠키 정보를 탈취하거나 피싱 사이트, 불법 광고 사이트로 이동하게 만드는 공격 기법은?✅ 보기 분석번호취약점 유형설명적합 여부①Stored XSS악성 스크립트가 서버에 저장되어 다른 사용자에게 지속 노출됨❌②Reflective XSSURL 등에 포함된 스크립트가 요청 시 반사되어 실행됨✅③SQL InjectionSQL 구문을 조작해 DB에 악영향을 줌❌④Command Injection시스템 명령어를 조작해 서버 명령 실행 유도❌🎯 정답: ② Reflective XSS📌 XSS 유형 비교유형설명Stored XSS악성 스크립트가 서버 DB에 저장되어 여러 사용자에게 ..

✅ 보안 취약점 점검 도구 정리📌 네트워크/시스템 취약점 점검 도구도구명주요 특징비고Nessus다양한 OS, 네트워크 장비, DB, 웹 서버 취약점 탐지가장 널리 사용되는 상용 도구 (무료 제한 있음)OpenVAS오픈소스 취약점 스캐너, Nessus 기반무료 사용 가능, 커뮤니티 활발QualysGuard클라우드 기반 스캐너, 정기 보고 및 컴플라이언스 기능기업용 SaaSNmap + NSE네트워크 스캐닝 + NSE 스크립트로 취약점 점검 가능오픈소스, 매우 유연함MBSAWindows 기반 시스템 취약점 점검 도구Microsoft 공식 도구, 현재는 업데이트 중단됨🌐 웹 애플리케이션 취약점 점검 도구도구명주요 특징비고OWASP ZAP오픈소스 웹 취약점 스캐너, 인터셉터 기능초보자부터 전문가까지 적합Bur..