무료 온라인 액세스 ECCouncil.312-50v13.v2025-09-09.q347 모의 시험 (Page 69)

312-50v13 문제 336

Daniel Is a professional hacker who Is attempting to perform an SQL injection attack on a target website.
www.movlescope.com. 이 과정에서 그는 미리 정의된 시그니처를 기반으로 SQL 삽입 시도를 탐지하는 IDS를 발견했습니다. 비교 구문을 피하기 위해 그는 ''또는''과 같은 문자를 삽입하려고 시도했습니다.
"or 1=1"과 같은 bask 주입 문에서 '1'='1" 위 시나리오에서 Daniel이 사용한 회피 기술을 식별하세요.

A. 널 바이트

B. IP 조각화

C. 문자 인코딩

D. 변형

정답: D

사용자 이름 문자열에 주석 "-" 연산자를 추가하면 SQL 쿼리의 비밀번호 부분을 실행하지 않아도 됩니다. "-" 연산자가 있는 모든 항목은 주석으로 간주되어 실행되지 않습니다.
이러한 공격을 시작하려면 name에 전달된 값이 'OR '1'='1'일 수 있습니다. -Statement = "SELECT * FROM 'CustomerDB' WHERE 'name' = ' "+ userName + " ' AND 'password' = ' " + passwd + " ' ; " Statement = "SELECT * FROM 'CustomerDB' WHERE 'name' = ' ' OR '1'='1';- + " ' AND 'password'
' " + 비밀번호 + " ' ; "
고객 데이터베이스의 모든 기록이 나열됩니다.
그러나 SQL 인젝션 공격의 또 다른 변형은 여러 SQL 인젝션 구문을 허용하는 DBMS 시스템에서 실행될 수 있습니다. 여기서는 사용자가 제공한 필드가 자주 사용되지 않거나 정렬 제약 조건을 확인하지 않는 특정 DBMS에서 이 취약점을 악용할 것입니다.
이는 숫자 필드가 SQL 문에 사용될 때 발생할 수 있지만, 프로그래머는 사용자가 제공한 입력이 숫자인지 확인하는 검사를 하지 않습니다.
변형은 공격자가 모든 비교 구문을 쉽게 회피할 수 있는 회피 기법입니다. 공격자는 "or 1=1"과 같은 기본 주입 구문이나 다른 허용되는 SQL 주석에 "' 또는 '1'='1'"과 같은 문자를 삽입하여 이를 수행합니다.
회피 기법: 변형 변형은 공격자가 모든 비교 구문을 쉽게 회피할 수 있는 회피 기법입니다. 공격자는 "or 1=1"과 같은 기본 주입 구문이나 기타 허용되는 SQL 주석에 "' 또는 '1'='1'"과 같은 문자를 삽입하여 이를 수행합니다. SQL은 이를 두 숫자 값이 아닌 두 문자열 또는 문자 간의 비교로 해석합니다. 두 문자열을 평가하면 참인 구문이 반환되는 것처럼, 두 숫자 값을 평가해도 참인 구문이 반환되어 전체 쿼리의 평가에는 영향을 미치지 않습니다. 또한, 다양한 시그니처를 작성할 수 있으므로 변형 가능성은 무한합니다. 공격자의 주요 목표는 WHERE 구문이 항상 "참"으로 평가되도록 하여 모든 수학적 또는 문자열 비교를 사용할 수 있도록 하는 것입니다. SQL은 동일한 작업을 수행할 수 있습니다.

312-50v13 문제 337

이 공격에서 피해자는 PayPal로부터 계정이 비활성화되었으며 활성화 전에 확인이 필요하다는 내용의 이메일을 받습니다. 공격자는 이후 신용카드 번호가 아닌 두 개, ATM PIN 번호, 그리고 기타 개인 정보를 수집하기 위해 사기를 칩니다. 무지한 사용자들이 이러한 사기의 표적이 되는 경우가 많습니다.
다음 중 이 공격과 관련하여 잘못된 진술은 무엇입니까?

A. 신용카드 및 은행 계좌 명세서를 정기적으로 검토하세요

B. 개인 정보나 재정 정보를 요청하는 이메일 메시지나 팝업 광고에 답장하지 마십시오.

C. 바이러스 백신, 스파이웨어 방지 및 방화벽 소프트웨어는 이러한 유형의 공격을 매우 쉽게 감지할 수 있습니다.

D. 이메일을 통해 신용카드 번호, 개인 정보 또는 금융 정보를 보내지 마십시오.

E. 이메일이나 팝업 광고에 나오는 전화번호를 믿지 마세요

312-50v13 문제 338

Miley, a professional hacker, decided to attack a target organization's network. To perform the attack, she used a tool to send fake ARP messages over the target network to link her MAC address with the target system's IP address. By performing this, Miley received messages directed to the victim's MAC address and further used the tool to intercept, steal, modify, and block sensitive communication to the target system. What is the tool employed by Miley to perform the above attack?

A. KDerpNSpoof

B. BetterCAP

C. Gobbler

D. Wireshark

312-50v13 문제 339

PGP, SSL, IKE는 모두 어떤 유형의 암호화의 예입니까?

A. 해시 알고리즘

B. 다이제스트

C. 공개 키

D. 비밀 키

312-50v13 문제 340

접근 가능한 디스크 드라이브가 있는 Windows 2008 R2 서버에 물리적으로 접근했습니다. 서버를 부팅하고 로그인하려고 하면 비밀번호를 추측할 수 없습니다. 툴킷에는 Ubuntu 9.10 Linux LiveCD가 있습니다. 사용자의 비밀번호를 변경하거나 비활성화된 Windows 계정을 활성화할 수 있는 Linux 기반 도구는 무엇입니까?

A. 존 더 리퍼

B. 설정

C. CHNTPW

D. 카인과 아벨

최근 업로드: 103Oracle.1Z0-1160-1.v2025-09-10.q18; 102Oracle.1z0-1054-25.v2025-09-10.q50; 101Cisco.300-710.v2025-09-10.q297; 102VMware.2V0-41.24.v2025-09-10.q104; 144Avaya.78201X.v2025-09-09.q135; 135CompTIA.220-1202.v2025-09-09.q57; 144CheckPoint.156-215.81.v2025-09-09.q391; 177ECCouncil.312-50v13.v2025-09-09.q347; 126Supermicro.SMI300XS.v2025-09-08.q15; 122Oracle.1z0-1104-25.v2025-09-08.q12