[오답정리] 33. 웹 보안

1. X.509 공개키 인증서는 클라이언트와 서버 상호 인증에 사용한다. SSL/TLS에서 사용 X

2. 웹 서버 보안에서 공격자에게 정보 노출을 막기 위하여 웹 사이트의 맞춤형 오류 페이지를 생성한다. 적절하지 않은 오류 페이지를 통해서 공격자가 많은 정보를 수집할 수 있기 때문

3. XSS(Cross Site Scripting)은 웹사이트에서 입력을 엄격하게 검증하지 않는 취약점을 이용하는 공격으로 사용자로 위장한 공격자가 웹사이트에 프로그램 코드를 삽입하여 나중에 이 사이트를 방문하는 다른 사용자의 웹 브라우저에서 해당 코드가 실행되도록 하는 것

4. CSRF(Cross-Site Request Forgery)는 웹페이지가 웹사이트를 구성하는 방식과 웹사이트가 동작하는데 필요한 기본과정을 공략하는 공격으로, 브라우저에서 사용자 몰래 요청이 일어나게 강제하는 공격이다. 다른 공격과 달리 특별한 공격 포인트가 없음!
즉, HTTP 트래픽을 변조하지도 않으며 문자나 인코딩 기법을 악의적으로 사용할 필요도 없다.
== 사용자가 인지하지 못한 상황에서 사용자의 의도와는 무관하게 공격자가 의도한 행위를 요청하게 함

5. TLS 프로토콜은 "TLS 레코드 프로토콜"과 "TLS  핸드셰이크 프로토콜" 이라는 2개의 프로토콜이 겹쳐서 구성됨

6. SSL은 부인방지 서비스를 제공하지 않음

7. 아파치 웹서비스를 제공함에 있어서, 디렉터리 리스팅이란 인덱스 파일이 없는 경우 디렉터리 내에 있는 파일들의 리스트가 열거되는 것을 말한다. 이러한 취약점을 제거하기 위한 설정 옵션은 Indexes 임, 옵션이 ON 되어 있는 경우에 디렉터리 리스팅 취약점이 나타남

8. OWASP 는 국제 웹보안표준기구로 웹에 대한 정보노출, 악성파일 및 스크립트 보안취약점 등을 연구하며, 10대 웹 애플리케이션 취약점을 정기적으로 발표하는 비영리 단체

9. XSS 공격은 게시판의 글에 원본과 함께 악성코드를 삽입해 해당 글을 읽을 경우 악성코드가 실행되도록하여 클라이언트의 정보를 유출하는 공격 기법 / 사용자 세션을 가로채거나, 홈페이지 변조, 악의적인 사이트 이동 등의 공격 수행

10. 웹서버 보안에서 악성 파일 업로드를 방지하기 위해 필요한 파일 확장자만 업로드를 허용한다. -> 파일 업로드 취약점 관련