23년 2회 필기 PBT 시험을 66점으로 합격했습니다. 7월29일 실기 시험을 준비하며, 어려웠던 문제와 틀린 문제를 정리해보겠습니다. 다른 문제들은 https://it-freelancer.tistory.com/1210 에서 확인 가능합니다.
문제
46. File Inclusion 취약점에 대한 설명으로 옳은 것을 모두 고른 것은?
㉠ LFI(Local File Inclusion)은 로컬에 있는 파일을 노출하거나 실행시킬 수 있는 공격 기법이다. ㉡ RFI(Remote File Inclusion)은 원격에 있는 파일을 노출하거나 실행시킬 수 있는 공격 기법이다. ㉢ 파일을 읽을 수 있는 API는 모두 공격 대상이 된다. ㉣ Path Traversal 패턴을 사용하여 공격을 시도해볼 수 있다. ㉤ 심각도에 따라 XSS, DoS 같은 공격을 야기할 수 있다. |
① ㉠, ㉡ ② ㉠, ㉡, ㉢
③ ㉠, ㉡, ㉣, ㉤ ④ ㉠, ㉡, ㉢, ㉣, ㉤
시험 후기
ㄷ은 아닐 줄 알았다.
정답
4
실제 시험 문제와 제출 답안
문제번호의 X 표시는 99프로 찍었다는 표시이며 / 표시는 자신이 없다는 표시임
공부하면서
File Inclusion 은 공부한 적 없는 주제였다.
ㄱ ㄴ 는 명확해보인다. 그러나 1,2,3,4 모두 ㄱ ㄴ 가 있어서 의미없는 항목이 되버렸다.
그래서 ㄴㄷㄹ 중에 File Inclusion과 무관한 것이 무엇인지 고르는 문제이다.
㉢ 파일을 읽을 수 있는 API ... 이것을 보고 떠올린 것은 공공데이터를 open API 로 수집했던 경험이다.
open API 가 무슨 공격 대상이란 말인가? 이건 아니지라고 생각하고 3번 선택!
지금 생각하니 나의 착각이었다.
open API 는 파일을 읽는 것이 아니라 데이터를 읽는 것이다. ㄷ은 파일을 읽는 것이라 했으니 open API 가 아닌 다른 종류다.
GET /filedownload?path=file:///etc/passwd
이런 것을 의미했던 것이다. 저런 기능이 외부에 제공된다면 딱 봐도 위험해보인다
https://www.hahwul.com/cullinan/file-inclusion/
File을 읽을 수 있는 API 모두 테스팅의 대상이 됩니다. Path Traversal 과 아래 패턴들을 이용하여 파일 읽기를 시도해 볼 수 있습니다.
https://blog.naver.com/qkdrudghks0297/222737595926
'정보보안기사 > 필기2023년2회PBT리뷰' 카테고리의 다른 글
정보기 필기 2023년 2회 PBT 문제 49번 SET (0) | 2023.07.01 |
---|---|
정보기 필기 2023년 2회 PBT 문제 47번 iOS (0) | 2023.07.01 |
정보기 필기 2023년 2회 PBT 문제 45번 전자투표 (0) | 2023.07.01 |
정보기 필기 2023년 2회 PBT 문제 42번 ModSecurity (0) | 2023.07.01 |
정보기 필기 2023년 2회 PBT 문제 39번 IP클래스 (0) | 2023.07.01 |