안랩 면접 준비

0. 자기소개 / 지원이유

​

1. OWASP(Open Web Application Security Project) Top 10 / 2017

​

A1: Injection (인젝션)

SQL, OS, XXE(Xml eXternal Entity), LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분으로써, 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다.

A2: Broken Authentication (취약한 인증)

인증과 세션 관리와 관련된 애플리케이션 기능은 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션 토큰을 해킹하거나 다른 구현 취약점을 공격하여 다른 사용자 계정을 일시적 또는 영구적으로 탈취하는 것을 허용한다

A3: Sensitive Data Exposure (민감한 데이터 노출)

많은 웹 애플리케이션들이 신용카드, 개인 식별 정보 및 인증 정보와 같은 중요한 데이터를 제대로 보호하지 않는다. 공격자는 신용카드 사기, 신분 도용 또는 다른 범죄를 수행하는 등 약하게 보호된 데이터를 훔치거나 변경할 수 있다. 중요 데이터가 저장 또는 전송 중이거나 브라우저와 교환하는 경우 특별히 주의하여야 하며, 암호화와 같은 보호조치를 취해야 한다.

A4: XML External Entities (XXE) (XML 외부 개체 (XXE))

오래되고 설정이 엉망인 많은 XML 프로세서들은 XML 문서 내에서 외부 개체 참조를 평가한다. 외부 개체는 파일 URI 처리기, 내부 파일 공유, 내부 포트 스캔, 원격 코드 실행과 서비스 거부공격을 사용하여 내부 파일을 공개하는데 사용할 수 있다.

A5: Broken Access Control (취약한 접근 통제)

취약한 접근 제어는 인증된 사용자가 수행할 수 있는 것에 대한 제한이 제대로 적용되지 않는 것을 의미한다. 공격자는 이러한 취약점을 악용하여 사용자의 계정 액세스, 중요한 파일 보기, 사용자의 데이터 수정, 액세스 권한 변경 등과 같은 권한 없는 기능, 또는 데이터에 액세스할 수 있다.

A6: Security Misconfiguration (잘못된 보안 구성)

훌륭한 보안은 애플리케이션, 프레임워크, 애플리케이션 서버, 웹 서버, 데이터베이스 서버 및 플랫폼에 대해 보안 설정이 정의되고 적용되어 있다. 기본으로 제공되는 값은 종종 안전하지 않기 때문에 보안 설정은 정의, 구현 및 유지되어야 한다. 또한 소프트웨어는 최신의 상태로 유지해야 한다.

A7: Cross-Site Scripting (XSS) (크로스 사이트 스크립팅 (XSS))

XSS 취약점은 애플리케이션이 신뢰할 수 없는 데이터를 가져와 적절한 검증이나 제한 없이 웹 브라우저로 보낼 때 발생한다. XSS는 공격자가 피해자의 브라우저에 스크립트를 실행하여 사용자 세션 탈취, 웹 사이트 변조, 악의적인 사이트로 이동할 수 있다.

A8: Insecure Deserialization(안전하지 않은 역직렬화)

안전하지 않은 역직렬화는 종종 원격 코드 실행으로 이어집니다. 역직렬화 취약점이 원격 코드실행 결과를 가져오지 않더라도 이는 권한 상승 공격, 주입 공격과 재생 공격을 포함한 다양한 공격 수행에 사용될 수 있다.

A9: Using Components with Known Vulnerabilities (알려진 취약점이 있는 구성요소 사용)

컴포넌트, 라이브러리, 프레임워크 및 다른 소프트웨어 모듈은 대부분 항상 전체 권한으로 실행된다. 이러한 취약한 컴포넌트를 악용하여 공격하는 경우 심각한 데이터 손실이 발생하거나 서버가 장악된다. 알려진 취약점이 있는 컴포넌트를 사용하는 애플리케이션은 애플리케이션 방어 체계를 손상하거나, 공격 가능한 범위를 활성화하는 등의 영향을 미친다.

A10: Insufficient Logging & Monitoring(불충분한 로깅 및 모니터링)

불충분한 로깅과 모니터링은 사고 대응의 비효율적인 통합 또는 누락과 함께 공격자들이 시스템을 더 공격하고, 지속성을 유지하며, 더 많은 시스템을 중심으로 공격할 수 있도록 만들고, 데이터를 변조, 추출 또는 파괴할 수 있다. 대부분의 침해 사례에서 침해를 탐지하는 시간이 200일이 넘게 걸리는 것을 보여주고, 이는 일반적으로 내부 프로세스와 모니터링보다 외부기관이 탐지한다.

출처 : 위키피디아(https://ko.wikipedia.org/wiki/OWASP#Top_Ten_Overview_(2017)

​

2. 안랩 보안관제는 어떤 일을 하는가?

- 보안위협으로부터 기업의 정보자산을 효율적으로 보호하고 나아가 고객 자신의 비즈니스 핵심역량에 집중할 수 있도록 고객의 보안 솔루션에 대한 운영 및 관리 제공

​

3. OSI 7계층

- 물리적 계층

- 데이터링크 계층

- 네트워크 계층 :

- 트랜스포트 계층 :

- 세션 계층

- 표현 계층

- 응용 계층

​

4. TCP/UDP

TCP

- 연결형 서비스를 지원하는 전송계층 프로토콜

- 인터넷 환경에서 사용하고, 호스트간 신뢰성 있는 데이터 전달과 흐름제어 및 혼잡제어 등을 제공한다.

- 높은 신뢰성

- 연결의 설정(3-hand-shaking) 해제(4-way-hand-shaking)

UDP

- 비연결형 서비스를 지원하는 전송계층 프로토콜

- 보내는 쪽에서 일방적으로 데이터를 전달

- 네트워크 부하 감소, no hand shaking

- DNS, NFS, SNMP, RIP

​

5. Dos/DDoS

- DoS : 시스템이나 네트워크의 구조적 취약점을 공격하여 정상적인 서비스를 지연시키거나 마비시킴

- DDoS : DoS 공격을 동시에 일어나게 함

​

6. Get/Post

- 서버에 본인이 가지고 있는 데이터를 전달하기 위해서 사용한다.

​

GET : URL이 query 이름과 같이 연결되어 들어감 like SELECT

서버의 어떤 값이나 내용, 상태 등을 바꾸지 않는 경우에 사용

게시판의 글의 내용에 대한 목록을 보여주는 경우나 글의 내용을 보는 경우

​

POST : BODY안에 query가 들어가 있어 보안에 조금 더 좋음

서버의 값이나 상태를 바꾸기 위해 사용

글쓰기를 하면 글의 내용이 DB에 수정, 변경되는 경우에 사용

​

7. IDS/IPS

- IDS(Intrusion Detection System) 침입 탐지 : 잠재적인 침입 시도를 실시간으로 탐지

- IPS(Intrusion Prevention System) 침입 방지 : IDS가 탐지한 자료를 바탕으로 차단/통과를 결정

​

8. 스니핑/스푸핑

- 스니핑 : 수동적 형태의 공격. 도청, 신호를 분석해 정보를 찾아냄 / 공격 대상의 네트워크 패킷을 수집하고 분석

- 스푸핑 : 속여서 정보를 얻어내는 것

http://jeongchul.tistory.com/199

9. DNS

- 잘 알고 있으니 넘어감

10. ESM(Enterprise Security Management)

- 조직의 보안 목적을 효율적으로 실현시키는 시스템

- IDS/VPN/IPS 등 많은 보안 시스템이 등장하면서 중앙집중적인 통합 관리의 필요성이 대두됨

​

11. 보안관제의 프로세스

- 정보수집 > 모니터링/분석 > 대응/조치 > 보고

​

12. ARP/RARP

- 스푸핑

13. Hand Shake

- http://asfirstalways.tistory.com/356

14. FTP 방식 설명

- 20, 21번 ? Passive, Active mode 있는거 (기억ㅇ안남 ㅎ)

15. 방화벽/웹방화벽

-

16. 패킷/트래킷/세션/쿠키 등등 기본 용어

​

17. 목적지가 같은 네트워크 / 목적지가 다른 네트워크 패킷 움직이는 과정

​

18. 서브넷 마스크

​

19. 라우팅 알고리즘

​

20. 추후 추가

​

END. 요즘 보안 이슈

​

- 이론적인 내용은 대부분 한 번씩 봤던거라 어렵지 않은데 가서 얼마나 대답을 잘하는지가 중요한 것 같다

- 해킹을 해본적이 없어서 조금 당황쓰

​

- 보안의 3가지 요소는 기밀성, 무결성, 가용성

- https://www.estsecurity.com/securityCenter/commonSense/1

------------------------------

결과는 떨어졌다. 이유는 모름. 말도 잘 했고 칭찬도 받았는데

아마 업무 적합도에서 부족해보였나보다.