XSS(Cross-Site Scripting)에 대한 설명으로 틀린 것은?
- 1
XSS 공격은 다른 사용자의 정보를 추출하기 위해 사용되는 공격 기법을 말한다.
오답 이유오답 보기입니다. ‘XSS 공격은 다른 사용자의 정보를 추출하기 위해 사용되는 공격 기법을 말한다.’은(는) 이 문항의 판단 기준인 ‘Reflected XSS는 웹 애플리케이션상에 스크립트를 저장해 놓은 것이다.’과 구별해야 합니다. 취약점이 발생하는 위치·입력 처리·세션 흐름 또는 대응 기법이 정답 조건과 다릅니다. - 2
사용자가 전달하는 입력값 부분에 스크립트 태그를 필터링 하지 못하였을 때 XSS 취약점이 발생한다.
오답 이유오답 보기입니다. ‘사용자가 전달하는 입력값 부분에 스크립트 태그를 필터링 하지 못하였을 때 XSS 취약점이 발생한다.’은(는) 이 문항의 판단 기준인 ‘Reflected XSS는 웹 애플리케이션상에 스크립트를 저장해 놓은 것이다.’과 구별해야 합니다. 취약점이 발생하는 위치·입력 처리·세션 흐름 또는 대응 기법이 정답 조건과 다릅니다. - 3
Stored XSS는 게시판 또는 자료실과 같이 사용자가 글을 저장할 수 있는 부분에 정상적인 평문이 아닌 스크립트 코드를 입력하는 기법을 말한다.
오답 이유오답 보기입니다. ‘Stored XSS는 게시판 또는 자료실과 같이 사용자가 글을 저장할 수 있는 부분에 정상적인 평문이 아닌 스크립트 코드를 입력하는 기법을 말한다.’은(는) 이 문항의 판단 기준인 ‘Reflected XSS는 웹 애플리케이션상에 스크립트를 저장해 놓은 것이다.’과 구별해야 합니다. 취약점이 발생하는 위치·입력 처리·세션 흐름 또는 대응 기법이 정답 조건과 다릅니다. - 4
Reflected XSS는 웹 애플리케이션상에 스크립트를 저장해 놓은 것이다.
정답 근거정답 보기입니다. 1. Reflected XSS (반사형 XSS) - 틀린 설명실제 의미: 공격용 스크립트가 웹 서버에 저장되지 않습니다.공격 방식: 공격자가 악성 스크립트가 포함된 URL을 사용자에게 보내고, 사용자가 그 링크를 클릭하는 순간 서버가 해당 스크립트를 사용자에게 다시 **반사(Reflect)**하여 실행되게 만드는 방식입니다. 주로 이메일이나 메시지를 통해 유포됩니다
정답 4번
1. Reflected XSS (반사형 XSS) - 틀린 설명실제 의미: 공격용 스크립트가 웹 서버에 저장되지 않습니다.공격 방식: 공격자가 악성 스크립트가 포함된 URL을 사용자에게 보내고, 사용자가 그 링크를 클릭하는 순간 서버가 해당 스크립트를 사용자에게 다시 **반사(Reflect)**하여 실행되게 만드는 방식입니다. 주로 이메일이나 메시지를 통해 유포됩니다
어플리케이션 보안 핵심개념
정답 용어만 외우지 말고 각 보기의 적용 대상·기능·전제 조건을 비교하세요. 같은 분야 기출을 묶어서 풀면 표현이 달라져도 판단 기준을 유지할 수 있습니다.
관련 개념 정리 읽기 →같은 개념 실제 기출 12문제
41번다음 지문에서 설명하고 있는 공격은?
해설 보기 →42번포렌식 조사 원칙 중 틀린 것은?
해설 보기 →43번합법적으로 소유하고 있던 사용자들의 도메인을 탈취하거나 DNS 조작을 통해 사용자들이 정확한 웹페이지 주소를 입력하더라도 가짜 웹페이지에 접속하도록 유도하여 개인정보를 훔치는 공격 방식은?
해설 보기 →44번이메일 공격유형 중 HTML 기능이 있는 클라이언트나 웹브라우저 사용자를 대상으로 하는 공격기법은?
해설 보기 →45번FTP 서비스를 운영할 때 준수하여야 할 보안사항으로 부적절한 것은?
해설 보기 →46번다음 중 포맷 스트링 취약점 동작과 가장 거리가 먼 것은?
해설 보기 →47번XSS 공격에 대한 설명으로 옳은 것은?
해설 보기 →48번사용자가 http://www.kisa.or.kr에 접속하기 위해 IP 주소를 얻어오는 순서는?
해설 보기 →49번SET에서 주문정보와 지불정보의 해시값을 결합하여 생성된 메시지에 다시 해시함수를 적용한 후 그 결과를 고객의 개인키로 암호화하는데 이 과정을 의미하는 용어는?
해설 보기 →50번CPU 하드웨어에 존재하는 부채널 관련 버그로써 빠른 수행을 위해 개발된 캐싱 및 추측 실행 기능을 악용하는 공격의 명칭은?
해설 보기 →51번SQL 인젝션 공격에 대응하는 효과적인 방법이 아닌 것은?
해설 보기 →52번다음에서 설명하는 웹 서비스 공격은?
해설 보기 →