정보보안기사8

1. SET

---

2. SET 암호화

• 송신자는 메세지를 압축하고 이를 송신자의 개인키로 암호화하여 전자서명을 만듭니다.
• 원문 메세지에 전자서명을 첨부한 후, 이를 대칭키로 암호화합니다.
• 사용된 대칭키를 수신자의 RSA 공개키로 암호화하여 수신자에게 전송합니다. (전자봉투)

---

3. SET 복호화

• 전자봉투에서 수신자의 RSA 개인키로 암호를 복호화하여 대칭키를 얻습니다.
• 대칭키로 원문 메세지와 전자서명을 검증합니다.
• 전자 서명을 송신자의 공개키로 복호화한 후, 메세지의 다이제스트를 구합니다.
• 수신자는 원본 메세지를 압축하여 메세지 다이제스트를 구합니다.

---

4. SET 확인 과정

• 카드사는 결제정보와 이중서명, 주문정보의 메세지 다이제스트를 받습니다.
• 카드사는 결제정보의 메세지 다이제스트를 주문정보의 메세지 다이제스트와 합하여 다시 메세지 다이제스트를 구합니다.
• 이중서명을 구매자의 공개키로 푼 것과 비교하여 서명을 확인합니다.

---

5. 이중서명

• 기술적인 정의: 주문정보의 메시지 다이제스트와 지불정보의 메시지 다이제스트를 구하고, 두 정보의 메시지 다이제스트를 합하여 생성된 새로운 메시지의 메시지 다이제스트를 구한 후, 고객의 서명용 개인키로 암호화한 것 또는 그 행위입니다.
• 주문정보와 지불정보 각각에는 이중서명과 함께 상대편 정보의 메시지 다이제스트가 포함됩니다.
• Merchant 또는 Payment Gateway는 자신이 받은 정보의 메시지 다이제스트를 구한 후, 상대편 정보의 메시지 다이제스트를 합하여 새로운 메시지 다이제스트를 구합니다. 이중서명을 고객의 서명용 공개키로 푼 것과 비교하여 두 개의 정보가 연결되었음을 확인합니다.
• 출처

---

6. SET

• Visa와 MasterCard가 고안한 방법으로, 전자서명이나 해시 알고리즘을 이용하여 데이터의 무결성을 확보합니다.
• '전자서명', '인증서 (certificate)'를 활용하여 서로를 신뢰하고 거래할 수 있게 합니다.
• 지불정보가 상인에게 노출되는 것을 방지하기 위해 이중서명을 사용합니다.

---

7. DNS Spoofing

• DNS Spoofing 설명
• 대응 방법: 중요한 사이트의 경우 hosts 파일을 통해 관리합니다.
• Zone Transfer: 53/tcp 마스터에 있는 원본 존 데이터를 슬레이브가 복사/동기화하는 작업입니다. 일반적으로 파일 크기가 크기 때문에 TCP를 사용합니다.

---

8. Set-Cookie

• 서버에서 쿠키를 생성하여 브라우저에게 전달할 때 사용하는 응답 헤더 필드입니다.

---

9. Cookie

• 웹 브라우저가 쿠키를 서버로 전달할 때 요청하는 헤더 필드입니다.

---

10. HttpOnly

• 자바스크립트로부터 쿠키 접근을 차단합니다.

---

11. Secure

• SSL/TLS 환경에서만 쿠키를 전달합니다.

---

12. Expires

• 쿠키의 만료 기간을 설정합니다.

---

13. HTTP 데이터 전송 방식

• GET
• POST

---

14. FTP 관련

• FTP Bounce, Anonymous FTP, TFTP
• 자세한 설명

---

15. 무선 보안 프로토콜

• WEP
• WPA
• WPA2
• WPA3
• 자세한 설명 추가 정보

---

16. 이메일 인증

• SPF
• DKIM
• DMARC
• 자세한 설명 추가 정보

https://velog.io/@agnusdei1207/dkim-spf

---

17. SPF 인증 결과

• Received-SPF, Authentication-Results 필드를 확인합니다.

---

18. Prepared Statement

• 미리 컴파일된 질의문을 활용하여 SQL Injection 시 입력값으로 인한 전체 쿼리문을 수정할 수 없도록 대응합니다.

---

19. XSS와 CSRF의 차이

• XSS는 클라이언트를 대상으로 공격하며, CSRF는 클라이언트의 크리덴셜을 획득한 후 서버를 대상으로 공격합니다.

---

20. XSS 대응책

• 입력값 필터링을 반드시 서버에서 수행하며, 이스케이핑 처리 및 화이트 리스트로 HTML 태그를 허용합니다.

---

21. XSS

• 자세한 설명

---

22. 파일 업로드 취약점 확인법

• Webshell이 업로드 되는지 확인합니다.
• 대응: 파일 타입 및 확장자 검증 실시, 실행 권한이 없도록 파일 권한 설정

---

23. Apache 파일 업로드 취약점 대응

• .htaccess
• 자세한 설명

---

24. httpd.conf

• 자세한 설명

---

25. httpd.conf Order

• 자세한 설명

---

26. Apache Access Log

• 자세한 설명

---

27. 가트너 취약점 7가지

• 자세한 설명

1. 입력 데이터 검증
2. api 악용
3. 보안 기능
4. 시간 및 상태
5. 에러처리
6. 코드품질
7. 캡슐화
8. 악보입시에코캡 : 가트너 7가지 개발보안 취약점

---

28. DNS 취약점 확인 명령어

• dig axfr @192.130.0.1 www.item.com -> 조회 될 경우 취약점이 존재
• 대응 방안: Slave가 있다면 allow-transfer {slave_ip} 설정, Slave가 없을 시 allow-transfer {none;} 설정

---

29. DNS Zone 설정 (Master)

zone "www.master.com" IN {
  type master;
  file file/path;
  allow-transfer {slave_ip;};
}

---

30. DNS Zone 설정 (Slave)

zone "www.slave.com" IN {
  type slave;
  file file/path;
  masters {master_ip;};
  allow-transfer {none;};
}

---

31. Slave 설정

• allow-transfer {none;} 보안상 일반적으로 설정합니다.

---

32. Anonymous FTP 취약점 확인

• Anonymous 계정명을 사용하여 FTP 접속이 되는지 확인합니다.

---

33. Anonymous FTP 대응

• /etc/vsftpd.conf 파일에서 anonymous_enable=NO 설정

---

34. FTP 계정별 접근권한 확인

• cat /etc/vsftpd/user_list
• cat /etc/vsftpd/ftpusers
• 자세한 설명

---

35. /etc/mail/access

• 자세한 설명

---

36. /etc/mail/sendmail.cf

• access.db 파일을 사용 중인지 확인할 수 있습니다.

---

37. MS-SQL 확장 프로시저

• xp_cmdshell을 이용하면 윈도우 IIS 웹서버에 SQL Injection 공격을 수행할 수 있습니다. (운영체제 명령어 수행 가능)

---

38. XXE

• 자세한 설명

---

39. SQL Injection

• 자세한 설명

---

40. Path Traversal

• 자세한 설명

---

41. Path Traversal 대응

• 입력값 검증
• chroot 활용

---

42. IIS Log 보는 법

• 자세한 설명

---

43. Directory Indexing, Directory Listing Tomcat Server 대응

• 자세한 설명

---

44. robots.txt

• 자세한 설명

---