top 30 security testing interview questions
자세한 답변이 포함 된 가장 자주 묻는 보안 테스트 인터뷰 질문 목록 :
보안 테스트 란 무엇입니까?
보안 테스트는 데이터를 보호하고 의도 한대로 기능을 유지하는 정보 시스템의 보안 메커니즘의 결함을 드러내 기위한 프로세스입니다.
보안 테스트는 모든 응용 프로그램에서 가장 중요한 테스트 유형입니다. 이러한 유형의 테스트에서 테스터는 공격자로서 중요한 역할을하며 시스템 주변에서 보안 관련 버그를 찾습니다.
여기에 몇 가지 주요 보안 테스트 인터뷰 질문을 나열했습니다.
추천 읽기 = >> 최고의 동적 애플리케이션 보안 테스트 소프트웨어
보안 테스트 면접 질문 상위 30 개
질문 # 1) 보안 테스트 란 무엇입니까?
대답: 보안 테스트는 모든 유형의 소프트웨어 테스트에서 가장 중요한 것으로 간주 될 수 있습니다. 주요 목표는 모든 소프트웨어 (웹 또는 네트워킹) 기반 애플리케이션에서 취약점을 찾고 가능한 공격이나 침입자로부터 데이터를 보호하는 것입니다.
많은 애플리케이션이 기밀 데이터를 포함하고 있으며 유출되지 않도록 보호해야합니다. 위협을 식별하고 즉각적인 조치를 취하려면 이러한 애플리케이션에 대해 주기적으로 소프트웨어 테스트를 수행해야합니다.
Q # 2)“취약점”이란 무엇입니까?
대답: 취약성은 침입자 또는 버그가 시스템을 공격 할 수있는 시스템의 약점으로 정의 할 수 있습니다.
시스템에서 보안 테스트를 엄격하게 수행하지 않은 경우 취약점 가능성이 높아집니다. 시스템의 취약성을 방지하려면 패치 또는 수정이 필요합니다.
질문 # 3) 침입 탐지 란 무엇입니까?
대답: 침입 탐지는 가능한 공격을 파악하고 처리하는 데 도움이되는 시스템입니다. 침입 탐지에는 여러 시스템 및 소스로부터 정보 수집, 정보 분석 및 시스템에 대한 가능한 공격 방법 찾기가 포함됩니다.
연결된 목록 노드 C ++
침입 감지는 다음을 확인합니다.
- 가능한 공격
- 비정상적인 활동
- 시스템 데이터 감사
- 다양한 수집 데이터 분석 등
Q # 4)“ SQL 주입 '?
대답: SQL 주입은 해커가 중요한 데이터를 얻기 위해 사용하는 일반적인 공격 기술 중 하나입니다.
해커는 SQL 쿼리를 전달하고 보안 검사를 우회하고 중요한 데이터를 반환 할 수있는 시스템의 허점을 확인합니다. 이를 SQL 주입이라고합니다. 해커가 중요한 데이터를 훔치거나 시스템을 손상시킬 수 있습니다.
SQL 삽입은 매우 중요하며 피해야합니다. 정기적 인 보안 테스트를 통해 이러한 종류의 공격을 방지 할 수 있습니다. SQL 데이터베이스 보안을 올바르게 정의하고 입력 상자와 특수 문자를 올바르게 처리해야합니다.
Q # 5) 보안 테스트의 속성을 나열합니까?
대답: 보안 테스트에는 다음과 같은 7 가지 속성이 있습니다.
- 입증
- 권한 부여
- 기밀성
- 유효성
- 청렴
- 부인 방지
- 탄력성
Q # 6) XSS 또는 교차 사이트 스크립팅이란 무엇입니까?
대답: XSS 또는 교차 사이트 스크립팅은 해커가 웹 애플리케이션을 공격하는 데 사용하는 취약점 유형입니다.
해커가 쿠키에서 기밀 정보를 훔쳐서 해커에게 반환 할 수있는 웹 페이지에 HTML 또는 JAVASCRIPT 코드를 삽입 할 수 있습니다. 예방해야 할 가장 중요하고 일반적인 기술 중 하나입니다.
문 # 7) SSL 연결과 SSL 세션은 무엇입니까?
대답: SSL 또는 SSL (Secure Socket Layer) 연결은 각 연결이 하나와 연결되는 일시적인 피어 투 피어 통신 링크입니다. SSL 세션 .
SSL 세션은 일반적으로 핸드 셰이크 프로토콜에 의해 생성되는 클라이언트와 서버 간의 연결로 정의 할 수 있습니다. 정의 된 매개 변수 세트가 있으며 여러 SSL 연결에서 공유 할 수 있습니다.
Q # 8)“침투 테스트”란 무엇입니까?
대답: 침투 테스트는 시스템의 취약성을 식별하는 데 도움이되는 보안 테스트에 있습니다. 침투 테스트는 수동 또는 자동 기술로 시스템의 보안을 평가하려는 시도이며, 취약점이 발견되면 테스터는 해당 취약점을 사용하여 시스템에 더 깊이 액세스하고 더 많은 취약점을 찾습니다.
이 테스트의 주요 목적은 가능한 공격으로부터 시스템을 방지하는 것입니다. 침투 테스트는 화이트 박스 테스트와 블랙 박스 테스트의 두 가지 방법으로 수행 할 수 있습니다.
화이트 박스 테스트에서는 테스터가 모든 정보를 사용할 수있는 반면 블랙 박스 테스트에서는 테스터가 정보를 가지고 있지 않으며 취약점을 찾기 위해 실제 시나리오에서 시스템을 테스트합니다.
Q # 9) '침투 테스트'가 중요한 이유는 무엇입니까?
대답: 침투 테스트는 다음과 같은 이유로 중요합니다.
- 공격의 위협이 항상 가능하고 해커가 중요한 데이터를 훔치거나 시스템을 손상시킬 수 있기 때문에 시스템의 보안 위반 및 허점은 매우 비용이 많이들 수 있습니다.
- 모든 정보를 항상 보호하는 것은 불가능합니다. 해커는 항상 중요한 데이터를 훔치기 위해 새로운 기술을 사용하며 테스터는 가능한 공격을 탐지하기 위해 정기적 인 테스트를 수행해야합니다.
- 침투 테스트는 위에서 언급 한 공격으로 시스템을 식별하고 보호하며 조직이 데이터를 안전하게 유지하는 데 도움이됩니다.
질문 # 10) 암호 파일을 보호하는 데 사용되는 두 가지 일반적인 기술은 무엇입니까?
대답: 암호 파일을 보호하는 두 가지 일반적인 기술은 해시 된 암호와 솔트 값 또는 암호 파일 액세스 제어입니다.
Q # 11) 소프트웨어 보안과 관련된 약어의 전체 이름을 나열합니까?
대답: 소프트웨어 보안과 관련된 약어는 다음과 같습니다.
- IPsec – 인터넷 프로토콜 보안은 인터넷 보안을위한 프로토콜 모음입니다.
- OSI- 개방형 시스템 상호 연결
- ISDN 통합 서비스 디지털 네트워크
- 잡담- 정부 개방형 시스템 상호 연결 프로필
- FTP- 파일 전송 프로토콜
- DBA – 동적 대역폭 할당
- DDS – 디지털 데이터 시스템
- DES- 데이터 암호화 표준
- CHAP- Challenge Handshake 인증 프로토콜
- 결합 – 주문형 대역폭 상호 운용성 그룹
- SSH – 보안 셸
- 경찰 공통 개방 정책 서비스
- ISAKMP – 인터넷 보안 연결 및 키 관리 프로토콜
- USM- 사용자 기반 보안 모델
- TLS – 전송 계층 보안
문 # 12) ISO 17799 란 무엇입니까?
대답: ISO / IEC 17799 원래 영국에서 출판되었으며 정보 보안 관리에 대한 모범 사례를 정의합니다. 정보 보안을 위해 규모가 작거나 큰 모든 조직에 대한 지침이 있습니다.
Q # 13) 취약점을 유발할 수있는 몇 가지 요인을 나열합니까?
답변 : 취약점을 일으키는 요인은 다음과 같습니다.
- 디자인 결함 : 시스템에 해커가 쉽게 시스템을 공격 할 수있는 허점이있는 경우
- 비밀번호 : 해커가 암호를 알고 있으면 정보를 매우 쉽게 얻을 수 있습니다. 암호 도용 위험을 최소화하려면 암호 정책을 엄격하게 따라야합니다.
- 복잡성: 복잡한 소프트웨어는 취약점에 대한 문을 열 수 있습니다.
- 인적 오류 : 인적 오류는 보안 취약성의 중요한 원인입니다.
- 조치: 데이터 관리가 부실하면 시스템에 취약성이 발생할 수 있습니다.
Q # 14) 보안 테스트의 다양한 방법론을 나열합니까?
대답: 보안 테스트의 방법론은 다음과 같습니다.
- 흰색 상자 모든 정보는 테스터에게 제공됩니다.
- 블랙 박스- 테스터에게 제공되는 정보는 없으며 실제 시나리오에서 시스템을 테스트 할 수 있습니다.
- 회색 상자 일부 정보는 테스터에게 있으며 나머지는 스스로 테스트해야합니다.
Q # 15) 오픈 소스 보안 테스트 방법론 매뉴얼에 따라 7 가지 주요 보안 테스트 유형을 나열 하시겠습니까?
대답: 오픈 소스 보안 테스트 방법론 매뉴얼에 따른 7 가지 주요 보안 테스트 유형은 다음과 같습니다.
- 취약점 검사 : 자동화 된 소프트웨어는 알려진 취약점에 대해 시스템을 스캔합니다.
- 보안 검색 : 네트워크 및 시스템 약점을 식별하기위한 수동 또는 자동화 기술.
- 침투 테스트 : 침투 테스트는 시스템의 취약성을 식별하는 데 도움이되는 보안 테스트에 있습니다.
- 위험 평가 : 여기에는 시스템의 가능한 위험 분석이 포함됩니다. 위험은 낮음, 중간 및 높음으로 분류됩니다.
- 보안 감사 : 취약성을 감지하기 위해 시스템 및 애플리케이션을 완벽하게 검사합니다.
- 윤리적 해킹 : 해킹은 개인적인 이익이 아닌 결함을 탐지하기 위해 시스템에서 수행됩니다.
- 자세 평가 : 이는 보안 검색, 윤리적 해킹 및 위험 평가를 결합하여 조직의 전반적인 보안 상태를 보여줍니다.
문 # 16) 뭐가 SOAP 및 WSDL ?
답 : SOAP 또는 단순 개체 액세스 프로토콜 응용 프로그램이 HTTP를 통해 정보를 교환하는 XML 기반 프로토콜입니다. XML 요청은 웹 서비스에 의해 SOAP 형식으로 전송 된 다음 SOAP 클라이언트가 SOAP 메시지를 서버로 보냅니다. 서버는 요청 된 서비스와 함께 SOAP 메시지로 다시 응답합니다.
WSDL (Web Services Description Language) UDDI에서 사용하는 XML 형식 언어입니다. 'Web Services Description Language는 웹 서비스와 이에 액세스하는 방법을 설명합니다.'
문 # 17) SSL 세션 연결을 정의하는 매개 변수를 나열 하시겠습니까?
답변 : SSL 세션 연결을 정의하는 매개 변수는 다음과 같습니다.
- 서버 및 클라이언트 임의
- 서버 쓰기 MACsecret
- 클라이언트 쓰기 MACsecret
- 서버 쓰기 키
- 클라이언트 쓰기 키
- 초기화 벡터
- 시퀀스 번호
문 # 18) 파일 열거 란 무엇입니까?
대답: 이러한 종류의 공격은 URL 조작 공격과 함께 강력한 브라우징을 사용합니다. 해커는 URL 문자열의 매개 변수를 조작 할 수 있으며 달성 된 데이터, 이전 버전 또는 개발중인 데이터와 같이 일반적으로 공개되지 않는 중요 데이터를 얻을 수 있습니다.
Q # 19) 침입 탐지 시스템이 제공 할 수있는 이점은 무엇입니까?
대답: 침입 탐지 시스템에는 세 가지 이점이 있습니다.
오라클 11g 성능 튜닝 인터뷰 질문
- NIDS 또는 네트워크 침입 탐지
- NNIDS 또는 네트워크 노드 침입 탐지 시스템
- HIDS 또는 호스트 침입 감지 시스템
Q # 20) HIDS 란 무엇입니까?
대답: HIDS 또는 호스트 침입 탐지 시스템은 기존 시스템의 스냅 샷을 촬영하여 이전 스냅 샷과 비교하는 시스템입니다. 중요한 파일이 수정 또는 삭제되었는지 확인한 다음 경고가 생성되어 관리자에게 전송됩니다.
Q # 21) SET 참가자의 주요 카테고리는 무엇입니까?
대답: 참가자는 다음과 같습니다.
- 카드 소지자
- 상인
- 발행자
- 취득자
- 지불 게이트웨이
- 인증 기관
Q # 22) 설명 'URL 조작'?
대답: URL 조작은 해커가 중요한 정보를 얻기 위해 웹 사이트 URL을 조작하는 공격 유형입니다. 이 정보는 클라이언트와 서버간에 HTTP GET 메서드를 통해 쿼리 문자열의 매개 변수로 전달됩니다. 해커는 이러한 매개 변수 간의 정보를 변경하고 서버에서 인증을 받고 중요한 데이터를 훔칠 수 있습니다.
이런 종류의 공격을 피하기 위해서는 URL 조작에 대한 보안 테스트가 이루어져야합니다. 테스터는 URL을 조작하고 가능한 공격이 있는지 확인할 수 있으며 발견되면 이러한 종류의 공격을 방지 할 수 있습니다.
질문 # 23) 침입자의 세 가지 부류는 무엇입니까?
대답: 침입자의 세 가지 부류는 다음과 같습니다.
- 숨는 장소: 컴퓨터에 대한 권한은 없지만 시스템의 액세스 제어를 해킹하고 인증 된 사용자의 계정에 액세스하는 개인으로 정의 할 수 있습니다.
- 부정 행위 : 이 경우 사용자는 시스템 리소스를 사용하도록 인증되었지만 시스템에 대한 액세스를 오용합니다.
- 비밀 사용자, 시스템의 제어 시스템을 해킹하고 시스템 보안 시스템을 우회하는 개인으로 정의 할 수 있습니다.
Q # 24) SSL에서 사용되는 구성 요소를 나열합니까?
대답: SSL (Secure Sockets Layer) 프로토콜 또는 SSL은 클라이언트와 컴퓨터 간의 보안 연결을 만드는 데 사용됩니다.
다음은 SSL에서 사용되는 구성 요소입니다.
- SSL 기록 프로토콜
- 핸드 셰이크 프로토콜
- 암호 사양 변경
- 암호화 알고리즘
Q # 25) 포트 스캐닝이란 무엇입니까?
대답: 포트는 정보가 모든 시스템에 들어오고 나가는 지점입니다. 시스템의 허점을 찾기위한 포트 검색을 포트 검색이라고합니다. 해커가 중요한 정보를 공격하고 얻을 수있는 시스템의 약점이있을 수 있습니다. 이러한 점을 식별하고 오용을 방지해야합니다.
다음은 포트 스캔 유형입니다.
C ++ char를 int로 캐스트
- 스트로브 : 알려진 서비스 스캔.
- UDP : 열린 UDP 포트 스캔
- 바닐라: 이 스캔에서 스캐너는 65,535 개의 모든 포트에 연결을 시도합니다.
- 스위프: 스캐너는 둘 이상의 컴퓨터에서 동일한 포트에 연결됩니다.
- 조각난 패킷 : 스캐너는 방화벽에서 간단한 패킷 필터를 통과하는 패킷 조각을 보냅니다.
- 스텔스 스캔 : 스캐너는 스캔 한 컴퓨터가 포트 스캔 활동을 기록하지 못하도록 차단합니다.
- FTP 바운스 : 스캐너는 스캔 소스를 위장하기 위해 FTP 서버를 통과합니다.
Q # 26) 쿠키가 무엇인가요?
대답: 쿠키는 웹 서버에서 수신하여 나중에 언제든지 읽을 수있는 웹 브라우저에 저장되는 정보입니다. 쿠키에는 암호 정보, 일부 자동 채우기 정보가 포함될 수 있으며 해커가 이러한 세부 정보를 얻는 경우 위험 할 수 있습니다. 여기에서 웹 사이트 쿠키를 테스트하는 방법을 알아보세요.
Q # 27) 쿠키의 종류는 무엇인가요?
대답: 쿠키 유형은 다음과 같습니다.
- 세션 쿠키 – 이러한 쿠키는 일시적이며 해당 세션에서만 지속됩니다.
- 영구 쿠키 – 이러한 쿠키는 하드 디스크 드라이브에 저장되며 만료되거나 수동으로 제거 될 때까지 지속됩니다.
Q # 28) 허니팟이란?
대답: 허니팟은 실제 시스템처럼 행동하고 해커를 유인하는 가짜 컴퓨터 시스템입니다. Honeypot은 시스템의 허점을 찾고 이러한 종류의 공격에 대한 솔루션을 제공하는 데 사용됩니다.
문 # 29) 매개 변수 t 나열 SSL 세션 상태를 정의 하시겠습니까?
답변 : SSL 세션 상태를 정의하는 매개 변수는 다음과 같습니다.
- 세션 식별
- 피어 인증서
- 압축 방식
- 암호 사양
- 마스터 비밀
- 재개 가능
Q # 30) 네트워크 침입 탐지 시스템에 대해 설명해주세요.
대답: 네트워크 침입 탐지 시스템은 일반적으로 NIDS로 알려져 있습니다. 전체 서브넷에서 전달되는 트래픽을 분석하고 알려진 공격과 일치시키는 데 사용됩니다. 허점이 확인되면 관리자는 경고를받습니다.
결론
이 보안 테스트 인터뷰 질문과 답변이 인터뷰를 준비하는 데 도움이 되었기를 바랍니다. 이러한 답변은 보안 테스트 항목의 개념을 이해하는데도 도움이됩니다.
또한 읽기 => 윤리적 해킹 과정
도움이된다면이 기사를 공유하세요!
추천 도서
- 2021 년 최고의 모바일 앱 보안 테스트 도구 10 가지
- AppTrana를 사용하여 웹 애플리케이션 보안 테스트를 수행하는 방법
- 모바일 앱 보안 테스트 지침
- 네트워크 보안 테스트 및 최고의 네트워크 보안 도구
- 보안 테스트 (전체 가이드)
- 보안 테스트 인터뷰 질문 및 답변 상위 30 개
- 웹 애플리케이션을 테스트하기위한 상위 4 개의 오픈 소스 보안 테스트 도구
- 웹 애플리케이션 보안 테스트 가이드