[정처기] 최다빈출 공격 유형 총정리 2 (XSS, 랜섬웨어, 티어드롭 등)

정보처리기사 공부하는데 나오는 공격 유형이 너무 많다...  정리하다 보니 또 나옴...

이번 포스팅은 자주 나오는 것들 + 알면 좋은 공격 유형을 정리해보았다.

아래 링크의 최다빈출 공격 유형 총정리와 이번 포스팅의 공격 유형만 마스터한다면, 정처기에 나오는 왠만한 모든 공격 유형들은 틀리지 않을 수 있을 것이다! 공격 유형이 낯선 분들은 아래 링크를 통해 빈출 공격 유형을 먼저 살펴보시는 걸 추천한다.

2021.04.14 - [▶ 자격증/정보처리기사] - [정처기] 최다빈출 공격 유형 총정리(스푸핑, 스니핑, 파밍, 피싱 등)

[정처기] 최다빈출 공격 유형 총정리(스푸핑, 스니핑, 파밍, 피싱 등)

---

1. XSS(cross site script)

검증되지 않은 외부 입력 데이터가 포함된 웹페이지가 전송되는 경우, 사용자가 해당 웹페이지를 열람함으로써 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격 기법

 

2. CSRF(cross site request forgery)

사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격 기법

 

3. TCP 세션 하이재킹(TCP session hijacking)

TCP sequence number의 보안상 문제점 때문에 발생한다. Victim와 server사이의 패킷을 스니핑 하여 sequence number를 획득하고, 공격자는 데이터 전송 중인 victim과 server사이를 비동기화 상태로 강제로 만드는 공격 기법

 

4. RUDY

요청 헤더의 content-length를 비정상적으로 크게 설정하여 메시지 바디 부분을 매우 소량으로 보내 계속 연결 상태를 유지시켜 자원을 소진시키는 공격 기법

 

5. 티어 드롭(tear drop)

공격자가 IP Fragment Offset 값을 서로 중첩되도록 조작하여 전송하고, 이를 수신한 시스템이 재조합하는 과정에서 오류가 발생, 시스템의 기능을 마비시키는 공격 기법

 

6. 랜섬웨어(ransomware)

몸값을 뜻하는 랜섬과 소프트웨어의 합성으로, 인터넷 사용자의 컴퓨터 내부에 잠입하여 내부 문서를 암호화하고, 복호화의 대가로 금전적 요구를 하는 공격 기법

 

7. 제로데이 공격(zero day)

컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격

 

8. 허니팟(honey pot)

정보시스템의 침입자를 속이는 기법의 하나로, 가상의 정보시스템을 만들어놓고 실제로 공격을 당하는 것처럼 보이게 하여 해커나 스팸을 유인하여 침입자의 정보를 수집하고 추적하는 역할

 

9. 버퍼오버플로우(bufferoverflow)

정해진 메모리의 범위를 넘치게 하여 원래의 리턴 주소를 변경시켜 임의의 프로그램이나 함수를 실행시키는 시스템 해킹 기법