① SQL Injection (SQL 삽입 공격)
- 정의: 사용자 입력값에 SQL 문을 삽입해 DB를 조작하는 공격
- 대응 방법: 입력값 검증, Prepared Statement(=바인딩 변수 사용)
String query = "SELECT * FROM user WHERE id = '" + userId + "'";//SQL Injection 방지
String query = "SELECT * FROM user WHERE id = ?";
PreparedStatement pstmt = conn.prepareStatement(query);
pstmt.setString(1, userId);② XSS (크로스 사이트 스크립팅)
- 정의: 웹 페이지에 악성 스크립트를 삽입해 사용자 브라우저에서 실행
- 대응 방법: 입력값 필터링, 출력 시 HTML 이스케이핑 처리
③ CSRF (사이트 간 요청 위조)
- 정의: 사용자가 로그인된 상태에서 공격자가 의도한 요청을 전송하게 하는 공격
- 대응 방법: 토큰 검증, Referer 확인
④ 암호화 관련
- 대칭키 암호화: 같은 키로 암호화/복호화 (AES, DES)
- 비대칭키 암호화: 공개키로 암호화, 개인키로 복호화 (RSA)
- 해시 함수: SHA-256, MD5 등 (복호화 불가, 무결성 검증용)
⑤ 인증 기법
- MAC (Message Authentication Code): 무결성 + 인증
- 디지털 서명: 송신자가 보낸 메시지임을 보장 (비대칭키 사용)
- 전자봉투: 대칭키 + 비대칭키 혼합 사용
| 개념 | 내용 |
| 방화벽(FW) | 내부-외부 간 트래픽 제어 (패킷 필터링) |
| 침입탐지시스템(IDS) | 공격 탐지 (차단은 X, 감시만) |
| 침입차단시스템(IPS) | 공격 실시간 탐지 + 차단 |
| VPN | 가상 사설망. 인터넷상에서 사설 통신처럼 사용 |
| 도청/스니핑 | 네트워크 트래픽 중간 가로채기 |
| 백도어 | 시스템에 몰래 접근할 수 있는 숨은 통로 |
| 트로이목마 | 겉보기엔 정상, 속은 악성 |
| 워터링홀 | 대상자가 자주 가는 사이트에 악성코드 삽입 |
암기 포인트
- XSS vs CSRF 구분법
- XSS: 사용자가 피해
- CSRF: 서버가 피해
- 방화벽 vs IDS vs IPS
- Firewall(방화벽): 트래픽 차단 - 외부와 내부 네트워크 간 트래픽을 제어
- IDS: 트래픽 탐지 - 모니터링만 함
- IPS: 탐지 + 차단
- 암호화 유형
- 기밀성: 암호화
- 무결성: 해시
- 인증: MAC, 디지털서명
- 공격 유형 구분
- 피싱: 가짜 사이트
- 스니핑: 도청
- 스푸핑: 신분 위조
- 디도스(DDoS): 분산 서비스 거부
| 항목 | 스누핑(Sniffing) | 스푸핑(Spoofing) |
| 의미 | 몰래 엿봄 (도청) | 속임수, 위장 |
| 목적 | 정보를 훔쳐보기 위해 | 정보를 속이기 위해 |
| 방식 | 네트워크 트래픽을 캡처 | 위장된 정보로 상대방을 속임 |
| 예시 | 와이파이에서 비번 도청 | 은행인 척 속여 피싱 사이트 유도 |
암기 팁
- "XCS": XSS, CSRF, SQL Injection → 웹 취약점 3대장
- "백워트": 백도어, 워터링홀, 트로이목마 → 악성코드 유형
- "IDS, IPS, FW": 감지, 차단, 필터링 → 순서대로 기능 다름
최종 요약 – 실전에서 나올 수 있는 키워드 묶음
| 분류 | 키워드 |
| 웹 보안 | SQL Injection, XSS, CSRF |
| 네트워크 보안 | 방화벽, IDS, IPS |
| 암호화 | 대칭/비대칭, RSA, AES, 해시, 디지털 서명 |
| 인증/무결성 | MAC, 해시, 전자봉투 |
| 공격 유형 | 피싱, 스니핑, 스푸핑, 디도스, 백도어 |
+ Teardrop Attack
- IP 패킷을 비정상적으로 조각(fragment) 내서 전송해, 대상 시스템이 조립(재조합)하는 과정에서 크래시나 다운되도록 만드는 공격
- 목적: 주로 시스템의 운영체제를 무력화시켜 서비스를 중단시키는 것
- 공격 원리
- 공격자가 IP 패킷을 조각(fragment) 내서 보냄
- 조각들이 겹치거나 이상한 오프셋(offset) 값을 갖도록 만들어서 보냄
- 대상 시스템이 이 조각들을 다시 합치려 할 때, 오류가 나거나 메모리 충돌이 발생해서 시스템이 다운됨
'개발인생 > Certificate' 카테고리의 다른 글
| 정처기 실기[기출1] (0) | 2025.04.18 |
|---|---|
| 정처기 실기[이론3] (0) | 2025.04.16 |
| 정처기 실기[이론2] (1) | 2025.04.16 |
| 정처기 실기[이론1] (8) | 2025.04.08 |
| 정처기 실기[프로그래밍언어] (1) | 2025.04.08 |