무료 온라인 액세스 ECCouncil.312-50v13.v2026-02-21.q308 모의 시험 (Page 18)

312-50v13 문제 81

What is the purpose of DNS AAAA record?

A. IPv6 address resolution record

B. Address database record

C. Address prefix record

D. Authorization, Authentication and Auditing record

312-50v13 문제 82

암호 분석 분야에서 "고무 호스" 공격이란 무엇을 의미합니까?

A. ASIC과 같은 하드웨어 가속 장치를 통해 대상 키스트림을 강제로 실행합니다.

B. 암호화 알고리즘을 만든 사람이 암호화 알고리즘에 설치한 백도어.

C. 강압이나 고문을 통해 암호학적 비밀을 추출합니다.

D. 원래 평문의 내용에 대한 논리적 가정을 통해 암호문을 해독하려고 시도합니다.

312-50v13 문제 83

보안 전문가인 론은 회사에서 사용하는 웹 애플리케이션과 SaaS 플랫폼에 대한 펜 테스트를 실시하고 있었습니다.
테스트 과정에서 그는 해커가 API 객체에 무단으로 접근하여 회사의 민감한 데이터를 열람, 업데이트, 삭제하는 등의 작업을 수행할 수 있는 취약점을 발견했습니다. 위 시나리오에서 드러난 API 취약점은 무엇입니까?

A. 코드 주입

B. CORS의 부적절한 사용

C. ABAC 검증 없음

D. 비즈니스 로직 결함

정답: C

이 시나리오는 권한이 없는 사용자가 API 객체와 상호 작용하여 민감한 데이터를 보거나, 수정하거나, 삭제할 수 있는 API 취약점을 설명합니다. 이는 접근 제어, 특히 속성 기반 접근 제어(ABAC) 검증이 제대로 이루어지지 않음을 나타냅니다.
속성 기반 액세스 제어(ABAC):
* ABAC는 사용자, 리소스, 환경(예: 사용자 역할, 데이터 민감도, 위치 등)의 속성을 기반으로 액세스 권한을 평가하는 고급 액세스 제어 모델입니다.
* ABAC가 제대로 구현되지 않은 경우("ABAC 검증 없음"), API를 통해 사용자는 액세스할 수 없는 개체에 액세스하거나 조작할 수 있습니다.
* API의 경우, 이는 일반적으로 IDOR(Insecure Direct Object Reference)와 같은 취약점으로 이어집니다. 즉, 사용자가 객체 식별자(ID)를 변조하여 자신에게 속하지 않은 데이터에 액세스하거나 변경할 수 있습니다.
이는 OWASP API 보안 상위 10개 위험(예: 손상된 개체 수준 권한 부여)에서 강조된 주요 위험 중 하나입니다.
잘못된 옵션:
* A. 코드 주입은 부적절한 접근 제어가 아닌 악성 코드(예: SQLi, XSS)를 주입하는 것을 의미합니다.
* B. CORS(Cross-Origin Resource Sharing)를 부적절하게 사용하면 승인되지 않은 데이터 노출로 이어질 수 있지만 API에서 승인되지 않은 객체에 액세스하는 것은 설명하지 않습니다.
* D. 비즈니스 로직 결함은 직접적인 액세스 제어 실패가 아닌 애플리케이션 워크플로 및 규칙의 약점과 관련이 있습니다.
참고 - CEH v13 공식 교육 자료:
* 모듈 14: 웹 애플리케이션 해킹
* 섹션: "API 보안 위협"
* 하위 섹션: "API의 액세스 제어 실패(IDOR, BOLA, ABAC 관련 결함)"
* OWASP API 보안 상위 10개: 2023 - A1: 손상된 객체 수준 권한 부여 CEH iLabs와 CEH Engage는 또한 액세스 제어 취약점을 악용하는 API 기반 공격 벡터를 보여줍니다.

312-50v13 문제 84

Eyecloud Inc.에서 근무하는 클라우드 보안 엔지니어인 알렉스는 애플리케이션을 기반 인프라에서 분리하고 명확하게 정의된 채널을 통해 통신을 활성화하는 업무를 담당합니다. 이를 위해 그는 애플리케이션 개발, 패키징 및 실행에 도움이 되는 오픈소스 기술을 활용했습니다. 또한, 이 기술은 OS 수준 시각화를 통해 PaaS를 제공하고, 컨테이너화된 소프트웨어 패키지를 제공하며, 빠른 소프트웨어 배포를 지원합니다. 위 시나리오에서 알렉스가 사용하는 클라우드 기술은 무엇입니까?

A. 가상 머신

B. 서버리스 컴퓨팅

C. 도커

D. 제로 트러스트 네트워크

312-50v13 문제 85

서비스 거부 공격은 어떻게 작동하나요?

A. 해커는 컴퓨터 또는 다른 사람을 혼란스럽게 만들어 합법적인 사용자를 모방하려고 시도합니다.

B. 해커가 시스템을 사용하여 비밀번호를 해독하려고 시도한 후 네트워크가 중단됩니다.

C. 해커가 합법적인 사용자(또는 사용자 그룹)가 서비스에 액세스하는 것을 방해합니다.

D. 해커는 인증을 무력화하기 위해 생각할 수 있는 모든 문자, 단어 또는 문자를 사용합니다.

다른 버전: 1385ECCouncil.312-50v13.v2025-09-09.q347

최근 업로드: 130SAP.C_S4CPB_2602.v2026-06-13.q7; 151SAP.C-S4CS-2602.v2026-06-13.q29; 171Salesforce.Slack-Con-201.v2026-06-13.q86; 175Oracle.1Z1-136.v2026-06-13.q46; 159BCS.BAPv5.v2026-06-13.q62; 140PaloAltoNetworks.SSE-Engineer.v2026-06-13.q18; 140SAP.C_CR125.v2026-06-13.q26; 137Proofpoint.PPAN01.v2026-06-13.q19; 145Workday.Workday-Pro-Time-Tracking.v2026-06-13.q19; 165API.API-1184.v2026-06-12.q40