무료 온라인 액세스 CompTIA.SY0-601.v2025-10-14.q871 모의 시험 (Page 44)

SY0-601 문제 211

한 조직이 해커가 시설에 침입하여 원격으로 접속 가능한 칼리 리눅스 기기를 연결할 가능성을 우려하고 있습니다. 이러한 공격에 대비하여 다음 중 첫 번째 방어선은 무엇이어야 할까요?
(두 개 선택)

A. MAC 필터링

B. 제로 트러스트 세분화

C. 네트워크 접근 제어

D. 출입 통제 현관

E. 경비병

F. 볼라드

SY0-601 문제 212

한 회사에서 여러 건의 악성코드 사고가 발생했는데, 이는 사용자가 회사 네트워크를 통해 인터넷에서 개인용 SaaS 애플리케이션에 접근한 것으로 추정됩니다. 이 회사는 사용자가 회사 네트워크 내에서만 비즈니스 관련 클라우드 애플리케이션에 접근할 수 있도록 하는 정책을 시행하고 있습니다. 이 정책을 시행하기 위해 다음 중 어떤 기술 솔루션을 사용해야 할까요?

A. ID 공급자를 사용하여 단일 로그인을 구현합니다.

B. 클라우드 액세스 보안 브로커를 활용하세요.

C. 클라우드 보안 그룹을 구성합니다.

D. 가상 사설 클라우드 엔드포인트를 설치합니다.

SY0-601 문제 213

보안 분석가는 진행 중인 공격 중에 SIEM 로그를 검토하다가 다음과 같은 사실을 발견했습니다.
http://company.com/get
php?f=/etc/passwd
http://company.com/..%2F.
.42F..42F.. $2Fetct2Fshadow
http://company.com/../../../ ../etc/passwd
다음 중 어떤 공격 유형을 가장 잘 설명합니까?

A. SQLi

B. CSRF

C. API 공격

D. 디렉토리 탐색

정답: D

디렉터리 탐색(파일 경로 탐색이라고도 함)은 공격자가 애플리케이션을 실행 중인 서버에서 임의의 파일을 읽을 수 있도록 하는 웹 보안 취약점입니다. 여기에는 애플리케이션 코드 및 데이터, 백엔드 시스템의 자격 증명, 그리고 민감한 운영 체제 파일이 포함될 수 있습니다. 경우에 따라 공격자는 서버의 임의의 파일에 쓰기 권한을 부여하여 애플리케이션 데이터나 동작을 수정하고 궁극적으로 서버를 완전히 제어할 수 있습니다.
가장 간단한 형태의 디렉터리 탐색은 .../ 패턴을 사용하는데, 이는 디렉터리 구조에서 한 단계 위로 올라가는 것을 의미합니다. 이 패턴을 반복함으로써 공격자는 루트 디렉터리까지 탐색한 후 서버의 모든 파일이나 폴더에 접근할 수 있습니다. 예를 들어, 다음 요청은 서버에서 Unix 비밀번호 파일 /etc/passwd를 읽으려고 시도합니다.
http://company.com/get.php?f=/etc/passwd
일부 웹 애플리케이션은 디렉토리 탐색 공격에 대한 일부 방어 수단(예: 필터링)을 구현할 수 있습니다.
.../ 패턴이나 사용자 입력을 검증하기 전에 퍼센트 디코딩을 수행합니다. 그러나 이러한 방어책은 변형이나 인코딩 기술을 사용하여 우회할 수 있는 경우가 많습니다. 예를 들어, 다음 요청은 .../ 또는 / 문자를 표현하는 데 다양한 방법을 사용합니다.
http://company.com/...%2F...%2F...%2Fetc%2F암호
http://company.com/.../.../.../%2Fetc%2F패스워드
http://company.com/%2E%2E/%2E%2E/%2E%2E/etc/passwd
웹 애플리케이션이 이러한 요청을 적절하게 처리하지 못하면 디렉토리 트래버설 공격이 발생할 수 있습니다.
A: SQLi입니다. 정답이 아닙니다. SQLi는 SQL Injection의 약자로, 웹 애플리케이션 데이터베이스 계층의 취약점을 악용하여 악성 SQL 문을 입력 필드에 삽입하여 실행하는 공격입니다.3 질문의 요청에는 SQL 문이나 명령이 포함되어 있지 않습니다.
B: CSRF. 정답이 아닙니다. CSRF는 Cross-Site Request Forgery의 약자로, 웹 서버가 사용자 브라우저에 대해 갖는 신뢰를 악용하여 사용자의 자격 증명을 사용하여 웹 서버로 악성 요청을 전송하는 공격입니다.4 이 질문에 제시된 요청은 위조되었거나 다른 웹사이트에서 전송되었음을 의미하지 않습니다.
C: API 공격. 정답은 아닙니다. API는 애플리케이션 프로그래밍 인터페이스(Application Programming Interface)의 약자로, 소프트웨어 구성 요소 간의 통신 및 데이터 교환을 위한 규칙과 사양의 집합입니다. PI 공격은 인증, 권한 부여, 암호화, 속도 제한 또는 입력 검증과 같은 API의 취약점이나 약점을 노리는 공격입니다.5 이 질문의 요청은 특정 API 기능이나 특징을 목표로 하지 않습니다.
D: 디렉터리 탐색. 정답은 디렉터리 탐색입니다. 디렉터리 탐색은 사용자가 제공한 파일 이름에 대한 보안 검증이나 검열이 부족하여,
"상위 디렉터리로 이동"은 운영 체제의 파일 시스템 API12로 전달됩니다. 질문의 요청에는 서버의 제한된 파일과 디렉터리에 접근하려는 다양한 패턴의 .../ 또는 / 문자가 포함되어 있습니다.
참고: 디렉토리 트래버설이란 무엇이고, 어떻게 방지할 수 있을까요? - PortSwigger, 디렉토리 트래버설 공격 - 위키피디아, SQL 주입(SQLi)이란 무엇이고, 어떻게 방지할 수 있을까요?, 크로스 사이트 요청 위조(CSRF)란 무엇일까요? | Acunetix, API 보안 테스트 - API 해킹 및 무사히 처리하는 방법(3부 중 1부).

SY0-601 문제 214

어떤 회사가 유럽 고객의 개인 정보를 처리하는 방식을 감사하고 있습니다. 회사는 다음 중 어떤 사항을 참고해야 합니까?

A. ISO

B. NIST

C. GDPR

D. PCI DSS

SY0-601 문제 215

보안 설계자는 회의실에 민감한 데이터를 대형 화면에 표시할 수 있는 워크스테이션을 배치해야 합니다. 데이터의 특성상 회의실에 저장할 수 없습니다. 파일 공유는 로컬 데이터 센터에 있습니다. 보안 설계자는 다음 중 요구 사항을 가장 잘 충족하기 위해 어떤 방안을 권장해야 할까요?

A. 포그 컴퓨팅과 KVM

B. VDI 및 씬 클라이언트

C. 프라이빗 클라우드 및 DLP

D. 전체 드라이브 암호화 및 두꺼운 클라이언트

다른 버전: 917CompTIA.SY0-601.v2024-11-10.q538; 683CompTIA.SY0-601.v2024-05-04.q284; 703CompTIA.SY0-601.v2024-04-02.q381; 1825CompTIA.SY0-601.v2023-09-18.q347; 1614CompTIA.SY0-601.v2022-11-12.q181; 3810CompTIA.SY0-601.v2022-07-25.q437; 2851CompTIA.SY0-601.v2022-04-30.q248

최근 업로드: 126Juniper.JN0-750.v2025-10-16.q27; 166LinuxFoundation.CKAD.v2025-10-16.q102; 145EXIN.CDCP.v2025-10-15.q41; 116Oracle.1Z0-1163-1.v2025-10-15.q18; 132McAfee.CCII.v2025-10-15.q46; 335GARP.2016-FRR.v2025-10-14.q272; 414CompTIA.SY0-601.v2025-10-14.q871; 144SAP.C-THR86-2505.v2025-10-14.q42; 203SHRM.SHRM-SCP.v2025-10-14.q110; 255HashiCorp.Terraform-Associate-003.v2025-10-14.q198