SQL injection 정보보안기사 실기문제 모음

4회

12. 다음 로그에서 나타나는 공격을 보고 물음에 답하시오.

----------

"GET /login?id=1'+and+substr(password,2,1)='0'# HTTP/1.1" 200 1739 "" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"

"GET /login?id=1'+and+substr(password,2,1)='1'# HTTP/1.1" 200 1788 "" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"

"GET /login?id=1'+and+substr(password,1,1)='2'# HTTP/1.1" 200 1789 "" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"

"GET /login?id=1'+and+substr(password,1,1)='3'# HTTP/1.1" 200 1789 "" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"

1) 어떤 공격 기법이 사용되었는가?

2) 해당 공격 원리에 대해 설명하시오.

3) 공격의 결과에 대해 설명하시오.

----------

정답확인 : http://q.fran.kr/문제/9813

5회

4. 웹 서버에 다음과 같은 로그를 발견하였다. 어떤 공격으로 판단 할 수 있는가?

----------

"GET /login.php?id%3D%27user%27%20and%20pw%3D%271%27%20or%201%3D1 HTTP/1.1" 200 3926

----------

정답확인 : http://q.fran.kr/문제/9788

6회

14. 웹 서버에서 다음과 같은 SQL SELECT 문이 수행된다고 할 때 아래의 항목에 대해서 설명하시오.

----------

SELECT password FROM user WHERE username='qfrankr'

1) 쿼리의 결과는 무엇인가?

2) 모든 사용자의 정보를 획득하기 위해 'qfrankr' 부분에 들어갈 예시를 작성하시오.

3) 위 예시가 가능한 이유는 무엇인가?

----------

정답확인 : http://q.fran.kr/문제/9781

8회

1. MySQL은 가장 대중적으로 사용되는 공개 소프트웨어 DBMS이다. MySQL 설정파일인 my.cnf에 이 옵션을 추가할 경우 외부 네트워크 사용자의 접근을 제한하고 로컬에서만 접근할 수 있게 된다. 이 옵션은 무엇인가?

정답확인 : http://q.fran.kr/문제/9734

11회

15. 보기는 공격자에 의해 웹사이트가 공격당하고 있는 상황이다. 공격 상황과 관련하여 물음에 답변하시오.

----------

ㅇ 공격자가 브라우저에 아래와 같은 URL을 입력하자 화면에 '1'이라는 숫자가 출력되었다.

http://q.fran.kr/view.php?no=1 union  select(substr(database(), 0, 1)) = 't'

1) 무슨 공격인지 쓰시오.

2) 위 공격을 통해 공격자가 취할 수 있는 정보를 쓰시오.

3) 관리자가 HTML코드를 수정하여 '1'이 출력되지 않도록 조치하였다. 이 조치법의 문제점을 서술하고 대응방안을 제시하시오.

----------

정답확인 : http://q.fran.kr/문제/9688