topic★★★★★난이도 · 약 25분
보안 공격 유형
SQL Injection · XSS · CSRF · DoS/DDoS · APT 등 — 실기 단답의 주력 영역.
#보안#공격#실기핵심
왜 배우는가
공격 이름과 대응 수단을 짝지어 암기. 매회 3~5개가 단답형으로 출제된다.
| 공격 | 설명 | 대응 |
|---|---|---|
| SQL Injection | 입력값에 악성 SQL 삽입 | PreparedStatement, 입력 검증 |
| XSS (Cross-Site Scripting) | 악성 스크립트를 웹에 삽입 | 출력값 인코딩, CSP |
| CSRF | 사용자 세션으로 악의적 요청 | CSRF Token, SameSite 쿠키 |
| Buffer Overflow | 버퍼 경계 초과로 인접 메모리 덮어씀 | 경계 검사, ASLR/DEP |
| Race Condition | 동시 접근 순서 문제 악용 | 동기화, 원자적 연산 |
| Format String | `%s/%x` 등 포맷 문자열 악용 | 고정 포맷 사용 |
| Session Hijacking | 세션 토큰 탈취 | HTTPS, 세션 ID 암호화 |
| DoS 공격 종류 | 원리 |
|---|---|
| SYN Flood | 반만 연결된 TCP SYN 대량 전송 |
| Smurf | Broadcast로 증폭된 ICMP 응답 |
| Ping of Death | 규격 초과 큰 ICMP 패킷 |
| Teardrop | 잘못된 단편화 오프셋 |
| Land | 출발지 = 목적지 IP 패킷 |
| DDoS | 여러 좀비 PC를 이용한 분산 DoS |
APT (Advanced Persistent Threat) — 특정 대상을 장기간 지속적으로 공격하는 지능형 위협. 스피어피싱 → 내부 침투 → 정보 유출의 단계적 공격.
XSS 3유형 — ① Stored XSS(DB 저장), ② Reflected XSS(URL 반사), ③ DOM-based XSS(JS에서 DOM 조작). 방어는 출력 이스케이프가 핵심.
실기 드릴 4문항
edit실기 드릴 · 단답형
웹 입력 폼에 `' OR '1'='1` 과 같은 문자열을 넣어 인증을 우회하는 공격은?
edit실기 드릴 · 단답형
특정 대상을 장기간 지속적으로 공격해 정보를 탈취하는 지능형 공격은?
edit실기 드릴 · 단답형
인터넷 이용자의 웹 브라우저를 속여 의도하지 않은 요청을 서버에 전송하게 만드는 공격은?
check_circle실기 드릴 · OX
SYN Flood는 가용성을 위협하는 DoS 공격이다.