security.md

보안

---

XSS에 대해서 설명하시오

예비 답안 보기 (👈 Click)

• 개념

  • Cross-site 스크립팅 공격, 사이트 간 스크립팅 공격
  • 사용자가 입력한 정보를 출력할 때 스크립트가 실행되도록 하는 공격기법 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다.
  • 이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타난다.
  • 이 취약점으로 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 할 수 있다.
  • 누군가가 중간에서 사용자의 세션 아이디를 훔친다면 그 사용자처럼 로그인할 수 있게 된다.

• 방어 방법

  • htmlspecialchars 사용
  • 이 함수는 html 코드를 해석하지 않고 화면에 그대로 출력하도록 변환
  • 쿠키는 XSS 공격과 CSRF 공격 등에 취약하기 때문에 쿠키 속성 HttpOnly 옵션을 활성화한다.
  • HttpOnly: true를 주면 자바스크립트를 통해서 쿠키 값에 접근할 수 없다.
  • XSS 공격 방지
  • 세션 옵션 Secure을 활성화
  • HTTPS에서만 쿠키가 전송된다. (즉, HTTPS에서만 세션 정보를 주고받을 수 있다.)
  • XSS 공격 방지
  • 쿠키를 사용하는 요청은 서버 단에서 검증하는 로직을 꼭 마련해두는 것이 좋다.
  • HTTPS를 이용해서 통신 하는 것이 좋다.

Ref. XSS 공격 Github. WeareSoft

---

---

해쉬 함수의 특징

예비 답안 보기 (👈 Click)

• 다양한 가변 길이의 입력에 적용될 수 있어야 한다.
• 고정된 길이의 출력을 만든다.
• 주어진 입력값을 해쉬하는 것은 쉽다.
• 해쉬 결과값으로 입력값을 계산하는 것은 불가능 하다.
• 동일한 해쉬값을 가지는 서로 다른 메시지 쌍이 없다.

Ref. 해쉬알고리즘이란 무엇이며 해쉬함수의 특징과 종류에는 어떠한 것들이 있나요? Kisa

---

---

알고있는 암호화 알고리즘에 대해서 설명하시오

예비 답안 보기 (👈 Click)

파생 문제 : 대칭 암호화, 비대칭 암호화에 대해서 설명하세요[V사]

[ Points ] 대칭 암호화와 비대칭 암호화로 구분 짓고 설명하는게 좋음

• DES, 3DES
• AES, SHA-1, SHA-256

[ 주의 ] MD-1, MD-5 해쉬 알고리즘을 언급하면 안됨. 단 모바일 실시간 게임 과 같이 연산량과 처리량, 실시간이 중요한 경우 MD-5를 사용할 수 있다고 언급

Ref. AES와 SHA차이. Tistory brownbears

---

---

CSRF에 대해서 설명하세요

예비 답안 보기 (👈 Click)

• CSRF(Cross Site Request Forgery): XSS공격이 가능한 웹어플리케이션 상에서 공격 대상의 권한(세션)을 사용하여 사용자가 의도하지 않은 행위를 하게 하는 공격(대부분의 공격이 XSS를 통해 트리거되지만 링크 피싱과 같은 사회 공학적 기법도 사용되므로 꼭 XSS가 발생 해야 CSRF가 가능하다고 단정 할 수는 없음)

• 예시: 사용자 명의의 글작성, 글삭제, 회원 탈퇴, 포인트 전송

• 방어 방법: CSRF 토큰 같은 공격자가 사전에 예상 할 수 없는 파라미터를 추가하여 사용자가 직접 수행하는 동작이 아니라면 실행 될 수 없게 함

(주의) 용어가 비슷하여 SSRF와 혼동 할 수 있는데, 공격 대상이 전혀 다른 기법

---

---

공개키, 비공개키 방식에 대해서 설명하시오.

답안 준비중입니다.

---

---

SSL에 대해서 설명하세요

답안 준비중입니다.

---

---

방화벽이란? 라우터와 방화벽의 차이

답안 준비중입니다.

---

---

용감한 친구들 with 남송리 삼번지

---