무료 온라인 액세스 CompTIA.SY0-601.v2025-10-14.q871 모의 시험 (Page 52)

SY0-601 문제 251

조직의 보안 접근 방식에 위험 관리 프레임워크를 포함시키는 데에는 다음 중 어떤 이점이 있습니까?

A. 데이터 침해가 발생할 경우 법적 보장과 구제책을 제공합니다.

B. 시스템 중단이 적시에 해결되도록 참여 공급망 파트너의 예상 서비스 수준을 정의합니다.

C. IT 운영에 제어 개발, 정책 및 관리 활동을 통합합니다.

D. 보안 환경에서 사용하도록 테스트 및 승인된 특정 공급업체 제품을 정의합니다.

SY0-601 문제 252

사이버 보안 분석가는 웹 서버 측의 로그 파일을 검토하여 디렉토리 트래버설 공격이 발생했음을 나타내는 일련의 파일을 확인합니다. 분석가는 다음 중 어떤 것을 가장 먼저 보게 될까요?

C.
{<디>}:

SY0-601 문제 253

공격은 최종 사용자가 일반적으로 방문하는 웹사이트를 방문하는 것을 전제로 합니다. 하지만 해당 사이트가 해킹되어 최종 사용자 브라우저의 취약점을 악용하여 악성 소프트웨어를 배포합니다. 이는 어떤 유형의 공격을 설명하는 것일까요?

A. 고래잡이

B. 물웅덩이

C. 피싱

D. 스미싱

SY0-601 문제 254

보안 엔지니어가 처음으로 비밀번호 없는 인증을 설정하고 있습니다.
지침
최소한의 명령만 사용하여 설정하고 제대로 작동하는지 확인하세요. 명령은 재사용할 수 없습니다.
언제든지 시뮬레이션을 초기 상태로 되돌리려면 '모두 재설정' 버튼을 클릭하세요.

SY0-601 문제 255

보안 분석가는 진행 중인 공격 중에 SIEM 로그를 검토하다가 다음과 같은 사실을 발견했습니다.
http://company.com/getphp?f=/etc/passwd
http://company.com/..%2F..42F..42F.. $2Fetct2Fshadow
http://company.com/../../../ ../etc/passwd
다음 중 어떤 공격 유형을 가장 잘 설명합니까?

A. SQLi

B. CSRF

C. API 공격

D. 디렉토리 탐색

정답: D

설명
디렉터리 탐색(파일 경로 탐색이라고도 함)은 공격자가 애플리케이션을 실행 중인 서버에서 임의의 파일을 읽을 수 있도록 하는 웹 보안 취약점입니다. 여기에는 애플리케이션 코드 및 데이터, 백엔드 시스템의 자격 증명, 그리고 민감한 운영 체제 파일이 포함될 수 있습니다. 경우에 따라 공격자는 서버의 임의의 파일에 쓰기 권한을 부여하여 애플리케이션 데이터나 동작을 수정하고 궁극적으로 서버를 완전히 제어할 수 있습니다.
가장 간단한 형태의 디렉터리 탐색은 .../ 패턴을 사용하는데, 이는 디렉터리 구조에서 한 단계 위로 올라가는 것을 의미합니다. 이 패턴을 반복함으로써 공격자는 루트 디렉터리까지 탐색한 후 서버의 모든 파일이나 폴더에 접근할 수 있습니다. 예를 들어, 다음 요청은 서버에서 Unix 비밀번호 파일 /etc/passwd를 읽으려고 시도합니다.
http://company.com/get.php?f=/etc/passwd
일부 웹 애플리케이션은 디렉토리 탐색 공격에 대한 일부 방어 수단(예: 필터링)을 구현할 수 있습니다.
.../ 패턴이나 사용자 입력을 검증하기 전에 퍼센트 디코딩을 수행합니다. 그러나 이러한 방어책은 변형이나 인코딩 기술을 사용하여 우회할 수 있는 경우가 많습니다. 예를 들어, 다음 요청은 .../ 또는 / 문자를 표현하는 데 다양한 방법을 사용합니다.
http://company.com/...%2F...%2F...%2Fetc%2F암호
http://company.com/.../.../.../%2Fetc%2F패스워드
http://company.com/%2E%2E/%2E%2E/%2E%2E/etc/passwd
웹 애플리케이션이 이러한 요청을 적절하게 처리하지 못하면 디렉토리 트래버설 공격이 발생할 수 있습니다.
A: SQLi입니다. 정답이 아닙니다. SQLi는 SQL Injection의 약자로, 웹 애플리케이션 데이터베이스 계층의 취약점을 악용하여 악성 SQL 문을 입력 필드에 삽입하여 실행하는 공격입니다.3 질문의 요청에는 SQL 문이나 명령이 포함되어 있지 않습니다.
B: CSRF. 정답이 아닙니다. CSRF는 Cross-Site Request Forgery의 약자로, 웹 서버가 사용자 브라우저에 대해 갖는 신뢰를 악용하여 사용자의 자격 증명을 사용하여 웹 서버로 악성 요청을 전송하는 공격입니다.4 이 질문에 제시된 요청은 위조되었거나 다른 웹사이트에서 전송되었음을 의미하지 않습니다.
C: API 공격. 정답은 아닙니다. API는 애플리케이션 프로그래밍 인터페이스(Application Programming Interface)의 약자로, 소프트웨어 구성 요소 간의 통신 및 데이터 교환을 위한 규칙과 사양의 집합입니다. API 공격은 인증, 권한 부여, 암호화, 속도 제한 또는 입력 검증과 같은 API의 취약점이나 약점을 노리는 공격입니다.5 이 질문의 요청은 특정 API 기능이나 특징을 목표로 하지 않습니다.
D: 디렉터리 탐색. 정답은 디렉터리 탐색입니다. 디렉터리 탐색은 사용자가 제공한 파일 이름에 대한 보안 검증이나 검열이 부족하여,
"상위 디렉터리로 이동"은 운영 체제의 파일 시스템 API12로 전달됩니다. 질문의 요청에는 서버의 제한된 파일과 디렉터리에 접근하려는 다양한 패턴의 .../ 또는 / 문자가 포함되어 있습니다.
참고: 디렉토리 트래버설이란 무엇이고, 어떻게 방지할 수 있을까요? - PortSwigger, 디렉토리 트래버설 공격 - 위키피디아, SQL 주입(SQLi)이란 무엇이고, 어떻게 방지할 수 있을까요?, 크로스 사이트 요청 위조(CSRF)란 무엇일까요? | Acunetix, API 보안 테스트 - API 해킹 및 무사히 처리하는 방법(3부 중 1부).

다른 버전: 917CompTIA.SY0-601.v2024-11-10.q538; 683CompTIA.SY0-601.v2024-05-04.q284; 703CompTIA.SY0-601.v2024-04-02.q381; 1825CompTIA.SY0-601.v2023-09-18.q347; 1614CompTIA.SY0-601.v2022-11-12.q181; 3810CompTIA.SY0-601.v2022-07-25.q437; 2851CompTIA.SY0-601.v2022-04-30.q248

최근 업로드: 126Juniper.JN0-750.v2025-10-16.q27; 167LinuxFoundation.CKAD.v2025-10-16.q102; 147EXIN.CDCP.v2025-10-15.q41; 120Oracle.1Z0-1163-1.v2025-10-15.q18; 135McAfee.CCII.v2025-10-15.q46; 346GARP.2016-FRR.v2025-10-14.q272; 424CompTIA.SY0-601.v2025-10-14.q871; 145SAP.C-THR86-2505.v2025-10-14.q42; 208SHRM.SHRM-SCP.v2025-10-14.q110; 257HashiCorp.Terraform-Associate-003.v2025-10-14.q198