[2022년도 국가공무원 9급][정보시스템 보안] 19번

문19. 다음에서 설명하는 웹 취약점 점검 방법과 해당 취약점을 바르게 연결한 것은?

(가) “../”를 이용해서 임의의 경로가 포함된 값으로 웹페이지 파라미터를 변조한 후 해당 경로의 파일 내용이 표시되는지 확인 (나) 사용자 입력값을 전달받는 게시판, 자료실 등에 <script>alert()</script>와 같은 스크립트를 입력한 후 실행 여부 확인 (다) 인증 후 정상적으로 세션이 발행된 페이지의 정보를 취득하고 일정 시간 후에 재전송했을 때 정상 처리가 되는지 확인

(가)                     (나)             (다)

①    경로 추적                CSRF                 불충분한 인증 및 인가

②    경로 추적                 XSS                  불충분한 세션 관리

③    디렉터리 인덱싱        XSS            불충분한 인증 및 인가

④    디렉터리 인덱싱        CSRF                 불충분한 세션 관리

[해설]

▣ 웹 취약점 점검

1) 경로조작 및 자원삽입 보안 약점

• 공격자가 입력값 조작으로 시스템이 보호하는 자원에 임의로 접근하여 자원의 수정․삭제, 시스템 정보누출, 시스템 자원 간 충돌로 인한 서비스 장애 등을 유발시킬 수 있는 취약점

2) XSS(Cross Site Script)

• 웹 페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되게 유도
• 예를 들어, 검증되지 않은 외부 입력이 동적 웹페이지 생성에 사용될 경우, 전송된 동적 웹페이지를 열람하는 접속자의 권한으로 부적절한 스크립트가 수행되어 정보유출 등의 공격을 유발

3) 불충분한 세션 관리

• 인증 시 일정한 규칙이 존재하는 세션ID가 발급되거나 세션 타임아웃을 너무 길게 설정한 경우 공격자에 의해 사용자 권한이 도용될 수 있는 취약점