정보보안기사/필기2023년2회PBT리뷰

정보기 필기 2023년 2회 PBT 문제 46번 취약점

멋쟁이천재사자 2023. 7. 1. 09:57

23년 2회 필기 PBT 시험을 66점으로 합격했습니다. 7월29일 실기 시험을 준비하며, 어려웠던 문제와 틀린 문제를 정리해보겠습니다. 다른 문제들은 https://it-freelancer.tistory.com/1210 에서 확인 가능합니다.

문제

 
46. File Inclusion 취약점에 대한 설명으로 옳은 것을 모두 고른 것은?

㉠ LFI(Local File Inclusion)은 로컬에 있는 파일을 노출하거나 실행시킬 수 있는 공격 기법이다.
㉡ RFI(Remote File Inclusion)은 원격에 있는 파일을 노출하거나 실행시킬 수 있는 공격 기법이다.
㉢ 파일을 읽을 수 있는 API는 모두 공격 대상이 된다.
㉣ Path Traversal 패턴을 사용하여 공격을 시도해볼 수 있다.
㉤ 심각도에 따라 XSS, DoS 같은 공격을 야기할 수 있다.

① ㉠, ㉡                                   ② ㉠, ㉡, ㉢ 
③ ㉠, ㉡, ㉣,                      ④ ㉠, ㉣, 
 
 
 
 

 

시험 후기

ㄷ은 아닐 줄 알았다.
 
 

정답

4
 
 

실제 시험 문제와 제출 답안

문제번호의 X 표시는 99프로 찍었다는 표시이며 / 표시는 자신이 없다는 표시임

 

공부하면서

File Inclusion 은 공부한 적 없는 주제였다.

ㄱ ㄴ 는 명확해보인다. 그러나 1,2,3,4 모두 ㄱ ㄴ 가 있어서 의미없는 항목이 되버렸다.

그래서 ㄴㄷㄹ 중에 File Inclusion과 무관한 것이 무엇인지 고르는 문제이다.

㉢ 파일을 읽을 수 있는 API ... 이것을 보고 떠올린 것은 공공데이터를 open API 로 수집했던 경험이다.
open API 가 무슨 공격 대상이란 말인가? 이건 아니지라고 생각하고 3번 선택!

지금 생각하니 나의 착각이었다.

open API 는 파일을 읽는 것이 아니라 데이터를 읽는 것이다. ㄷ은 파일을 읽는 것이라 했으니 open API 가 아닌 다른 종류다.

GET /filedownload?path=file:///etc/passwd

이런 것을 의미했던 것이다. 저런 기능이 외부에 제공된다면 딱 봐도 위험해보인다

https://www.hahwul.com/cullinan/file-inclusion/

File Inclusion (LFI/RFI)

🔍 Introduction File Inclusion은 동적으로 File을 읽거나 Include(소스코드 내 Built) 하는 기능이 있는 경우 이를 악용하여 시스템 파일을 읽어 탈취하거나 공격자가 만들어둔 소스코드를 Include 하도록 유

www.hahwul.com

File을 읽을 수 있는 API 모두 테스팅의 대상이 됩니다. Path Traversal 과 아래 패턴들을 이용하여 파일 읽기를 시도해 볼 수 있습니다.



 
https://blog.naver.com/qkdrudghks0297/222737595926

(P4C 4기) DVWA Low level 실습 - File Inclusion

File Inclusion 실습을 진행해보았다. Remote File Inclusion - RFI 와 Local File Inclusion -...

blog.naver.com