무료 온라인 액세스 CompTIA.CAS-003.v2022-07-04.q589 모의 시험 (Page 44)

CAS-003 문제 211

보안 엔지니어는 입력 유효성 검사를 통해 개발자를 지원하고 있으며 다음 코드 블록을 연구하고 있습니다.

보안 엔지니어는 고객이 제공한 계정 식별자에 대해 강력한 입력 유효성 검사가 이루어지도록 하려고 합니다. 이러한 식별자는 10자리 숫자입니다. 개발자는 많은 사람들이 시스템을 사용하기 때문에 입력 유효성 검사가 빠른지 확인하려고 합니다.
다음 중 보안 엔지니어가 개발자에게 해줄 수 있는 가장 좋은 조언은 무엇입니까?

A. 코드를 Java 기반 유형 검사로 교체

B. 입력을 배열로 구문 분석

C. 정규식 사용

D. 유효성 검사 전에 문자열 개체에 대한 입력을 정규화합니다.

CAS-003 문제 212

한 병원은 애플리케이션의 세그먼트를 지원하는 가상 호스트의 데이터베이스와 애플리케이션 서버 간의 트래픽에 멀티캐스트가 필요한 레거시 전자 의료 기록 시스템을 사용합니다. 스위치 업그레이드 후에는 하이퍼바이저와 스토리지 간의 물리적 연결에도 불구하고 전자 의료 기록을 사용할 수 없습니다. 네트워크 팀은 멀티캐스트 트래픽을 활성화하여 전자 의료 기록에 대한 액세스를 복원해야 합니다. ISM은 네트워크 팀이 네트워크에서 멀티캐스트 트래픽의 공간을 줄여야 한다고 명시하고 있습니다.

위 정보를 사용하여 멀티캐스트를 활성화해야 하는 VLAN은 무엇입니까?

A. VLAN201, VLAN202, VLAN400, VLAN680, VLAN700

B. VLAN400, VLAN680, VLAN700

C. VLAN201, VLAN202, VLAN400

D. VLAN201, VLAN202, VLAN700

CAS-003 문제 213

보안 관리자는 네트워크 스위치 및 라우터에 대해 이중 인증을 구현하려고 합니다. 솔루션은 네트워크 인프라 장치에 대한 인증에 사용되는 회사의 RADIUS 서버와 통합되어야 합니다. 보안 관리자는 다음을 구현합니다.
- RADIUS 서버에 HOTP 서비스가 설치되어 있습니다.
- RADIUS 서버는 다음을 위해 HOTP 서비스를 요구하도록 구성됩니다.
입증.
구성은 소프트웨어 신청자를 사용하여 성공적으로 테스트되고 모든 네트워크 장치에 적용됩니다. 네트워크 관리자는 두 번째 요소에 대한 메시지가 표시되지 않기 때문에 네트워크 장치에 로그온할 수 없다고 보고합니다.
다음 중 문제를 BEST 해결하기 위해 구현해야 하는 것은 무엇입니까?

A. 암호에 추가된 두 번째 요소를 수락하도록 RADIUS 서버를 구성합니다. 네트워크 관리자는 암호 필드에 암호와 토큰을 차례로 입력합니다.

B. 사용자 이름, 암호 및 토큰을 묻는 메시지가 표시되도록 네트워크 장치를 재구성합니다. 네트워크 관리자는 사용자 이름과 암호를 입력한 다음 토큰을 입력합니다.

C. 암호 요구 사항을 두 번째 요소로 바꿉니다. 네트워크 관리자는 사용자 이름을 입력한 다음 암호 필드에 암호 대신 토큰을 입력합니다.

D. HOTP 서비스 외에 RADIUS 서버에 TOTP 서비스를 설치합니다. 이중 인증을 지원하지 않는 구형 장치에서 HOTP를 사용하십시오. 네트워크 관리자는 웹 포털을 사용하여 이러한 장치에 로그온합니다.

CAS-003 문제 214

법의학 분석가는 위반이 발생했다고 의심합니다. 보안 로그에 따르면 회사의 OS 패치 시스템이 손상되었을 수 있으며 제로 데이 익스플로잇과 백도어가 포함된 패치를 제공하고 있습니다. 분석가는 클라이언트 컴퓨터와 패치 서버 간의 통신 패킷 캡처에서 실행 파일을 추출합니다. 다음 중 이 의심을 확인하기 위해 분석가는 무엇을 사용해야 합니까?

A. 파일 크기

B. 전자 서명

C. 체크섬

D. 맬웨어 방지 소프트웨어

E. 샌드박싱

CAS-003 문제 215

고객이 나열된 품목의 가격을 임의로 변경할 수 있는 온라인 장바구니 문제에 대해 알림을 받은 후 프로그래머는 웹 기반 장바구니에서 사용하는 다음 코드를 분석합니다.
장바구니에서 항목 선택 WHERE ITEM=ADDSLASHES($USERINPUT);
프로그래머는 사용자가 장바구니에 항목을 추가할 때마다 웹 서버 /tmp 디렉토리에 임시 파일이 생성된다는 것을 발견했습니다. 임시 파일에는 $USERINPUT 변수의 내용과 MM-DD-YYYY 형식의 타임스탬프(예: smartphone-12-25-2013.tmp)를 연결하여 생성된 이름이 있으며 여기에는 해당 항목의 가격이 포함됩니다. 구입 한. 다음 중 장바구니 항목의 가격을 조작하기 위해 가장 많이 악용될 가능성이 있는 것은 무엇입니까?

A. 입력 유효성 검사

B. SQL 인젝션

C. TOCTOU

D. 세션 하이재킹

정답: C

이 질문에서 TOCTOU는 사용자가 항목의 가격이 포함된 임시 파일을 수정할 수 있도록 악용되고 있습니다.
소프트웨어 개발에서 TOCTOU(Time of Check to Time of Use)는 조건(예: 보안 자격 증명) 확인과 해당 확인 결과 사용 사이의 시스템 변경으로 인해 발생하는 소프트웨어 버그 클래스입니다. 이것은 경쟁 조건의 한 예입니다.
간단한 예는 다음과 같습니다. 사용자가 페이지를 편집할 수 있도록 하고 관리자가 편집을 방지하기 위해 페이지를 잠글 수 있도록 하는 웹 응용 프로그램을 고려하십시오. 사용자가 페이지 편집을 요청하고 콘텐츠를 변경하는 데 사용할 수 있는 양식을 가져옵니다. 사용자가 양식을 제출하기 전에 관리자는 페이지를 잠그므로 편집이 금지됩니다. 그러나 이미 편집이 시작되었기 때문에 사용자가 양식을 제출하면 해당 편집(이미 적용된)이 수락됩니다. 사용자가 편집을 시작할 때 적절한 권한이 확인되었으며 실제로 사용자가 편집할 수 있었습니다. 그러나 승인은 나중에 편집이 더 이상 허용되지 않아야 하는 시점에 사용되었습니다.
TOCTOU 경쟁 조건은 Unix에서 파일 시스템 작업 사이에서 가장 일반적이지만 로컬 소켓 및 데이터베이스 트랜잭션의 부적절한 사용을 포함하여 다른 컨텍스트에서 발생할 수 있습니다.
오답:
A: 입력 유효성 검사는 올바른 데이터가 필드에 입력되었는지 확인하는 데 사용됩니다. 예를 들어, 입력 유효성 검사는 숫자가 필요한 필드에 입력된 문자가 허용되지 않도록 합니다. 이 질문의 익스플로잇은 입력 유효성 검사의 예가 아닙니다.
B: SQL 주입은 공격자가 리소스에 대한 액세스 권한을 얻거나 데이터를 변경하기 위해 SQL(Structured Query Language) 코드를 웹 양식 입력 상자에 추가하는 보안 악용 유형입니다. 이 질문의 익스플로잇은 SQL 주입 공격의 예가 아닙니다.
D: TCP 세션 하이재킹이라고도 하는 세션 하이재킹은 세션 ID를 획득하고 인가된 사용자로 가장하여 웹 사용자 세션을 탈취하는 방법입니다. 이 질문의 익스플로잇은 세션 하이재킹의 예가 아닙니다.
참조:
https://en.wikipedia.org/wiki/Time_of_check_to_time_of_use

다른 버전: 4726CompTIA.CAS-003.v2022-12-20.q589; 2621CompTIA.CAS-003.v2022-05-09.q215

최근 업로드: 113Oracle.1D0-1055-25-D.v2026-06-24.q7; 128SUSE.SCA_SLES15.v2026-06-24.q76; 136SAP.C_P2W10_2504.v2026-06-23.q28; 133Nokia.SRAN-Radio-Network-Performance-Optimization.v2026-06-23.q11; 158TheOpenGroup.OGEA-101.v2026-06-23.q120; 156EMC.D-PST-DY-23.v2026-06-23.q129; 148PRINCE2.PRINCE2-Agile-Foundation.v2026-06-23.q82; 130Pegasystems.PEGACPDC25V1.v2026-06-23.q63; 135SAP.C_ARSCC.v2026-06-23.q27; 174MedicalTechnology.PTC-AMCA.v2026-06-23.q112