OWASP 인터뷰 질문 및 답변 상위 14개(2024)

꿈의 직업을 갖기 위한 신입생과 경력 지원자를 위한 OWASP 면접 질문과 답변은 다음과 같습니다.


1) OWASP란 무엇입니까?

OWASP는 개방형 웹 애플리케이션 보안 프로젝트를 의미합니다. 안전한 소프트웨어 개발을 지원하는 조직입니다.


2) 다양한 값에 걸쳐 무작위성이 낮은 세션 토큰에서 어떤 결함이 발생하는지 언급해 주세요.

세션 하이재킹은 값 범위에서 무작위성이 낮은 세션 토큰으로 인해 발생합니다.

무료 PDF 다운로드: OWASP 인터뷰 질문 및 답변


3) 애플리케이션이 사용자가 삽입한 데이터를 가져와 적절한 유효성 검사 및 이스케이프 없이 웹 브라우저로 보내면 어떤 일이 발생하는지 언급하세요.

크로스 사이트 스크립팅은 애플리케이션이 사용자가 삽입한 데이터를 가져와 적절한 유효성 검사 및 이스케이프 없이 웹 브라우저로 보낼 때 발생합니다.


4) 높은 수준의 엔트로피로 생성된 고유한 사용자 이름을 사용하면 어떤 위협을 피할 수 있습니까?

높은 수준의 엔트로피로 생성된 고유한 사용자 이름을 가짐으로써 인증 우회를 피할 수 있습니다.


5) OWASP WebGoat와 WebScarab이 무엇인지 설명해주세요.

  • 웹염소: 알려진 문제에 대해 보안 도구를 테스트하기 위한 기준인 애플리케이션 보안과 관련된 학습을 위한 교육 도구입니다. 그것은 J2EE Tomcat과 JDK 1.5를 기반으로 한 "보안 강의"로 구성된 웹 애플리케이션입니다.
  • 웹풍뎅이: HTTP/HTTPS 트래픽을 분석하기 위한 프레임워크입니다. 조각 분석, 서버와 브라우저 간의 트래픽 관찰, 수동 차단, 세션 ID 분석, 표시된 각 페이지 내에서 새 URL 식별과 같은 다양한 기능을 수행합니다.
OWASP 면접 질문
OWASP 면접 질문

6) 상위 10개 OWASP 취약점 나열

OWASP 상위 10개 보안 결함은 다음과 같습니다.

  • 주입
  • 크로스 사이트 스크립팅
  • 손상된 인증 및 세션 관리
  • 안전하지 않은 암호화 저장소
  • 제한하지 않음
  • 안전하지 않은 통신
  • 악성 파일 실행
  • 안전하지 않은 직접 개체 참조
  • URL 액세스 제한 실패
  • 정보 유출 및 부적절한 오류 처리

7) 토큰이 포함된 HTTP 쿠키를 안전한 것으로 표시하지 않으면 어떤 위협이 발생하는지 설명하세요.

액세스 제어 위반 위협은 토큰이 포함된 HTTP 쿠키를 안전한 것으로 표시하지 않음으로써 발생합니다.


8) 사용자의 세션 자격 증명이나 세션 ID를 명시적인 값으로 구현하는 공격 기술을 지정합니까?

사전 공격은 사용자의 세션 자격 증명 또는 세션 ID를 명시적인 값으로 강제할 수 있습니다.

owasp 면접 질문
OWASP

9) OWASP 애플리케이션 보안 검증 표준(ASVS) 프로젝트에는 무엇이 포함되어 있습니까?

OWASP 애플리케이션 보안 검증 표준 프로젝트에는 다음이 포함됩니다.

  • 측정항목으로 사용: 이는 애플리케이션 소유자와 애플리케이션 개발자에게 웹 애플리케이션에 부여할 수 있는 신뢰도를 분석할 수 있는 척도를 제공합니다.
  • 지침으로 사용: 애플리케이션 보안 요구 사항을 충족하기 위해 보안 제어에 무엇을 구축해야 하는지에 대한 정보를 보안 제어 개발자에게 제공합니다.
  • 조달 중 사용: 이는 계약에서 애플리케이션 보안 검증 요구 사항을 지정하기 위한 기반을 제공합니다.

10) 평가 중에 테스트할 컨트롤을 나열합니까?

  • 정보 수집
  • 구성 및 배포 관리 테스트
  • 관리 테스트 식별
  • 테스트 인증
  • 인증 테스트
  • 세션 관리 테스트
  • 데이터 검증 테스트
  • 오류 처리
  • 암호화
  • 비즈니스 로직 테스트
  • 클라이언트 측 테스트

11) OWASP 보안 테스트의 패시브 모드 또는 XNUMX단계가 무엇인지 설명해주세요.

패시브 모드 또는 보안 테스트의 I 단계에는 애플리케이션의 논리를 이해하고 적절한 도구를 사용하여 정보를 수집하는 것이 포함됩니다. 이 단계가 끝나면 테스터는 애플리케이션의 모든 게이트 또는 액세스 포인트를 이해해야 합니다.


12) 제한된 리소스에 대한 직접 참조에 대한 사용자의 권한을 확인하지 않을 경우 노출되는 위협은 무엇입니까?

제한된 리소스에 대한 직접 참조에 대한 사용자의 권한을 확인하지 않으면 안전하지 않은 직접 객체 참조 위협에 노출됩니다.


13) OWASP ESAPI가 무엇인지 설명해주세요.

OWASP ESAPI(엔터프라이즈 보안 API)는 개발자가 위험도가 낮은 애플리케이션을 구축하거나 작성할 수 있는 오픈 소스 웹 애플리케이션 보안 제어 라이브러리입니다.


14) OWASP ESAPI의 기본 설계는 무엇입니까?

OWASP ESAPI의 기본 설계에는 다음이 포함됩니다.

  • 보안 제어 인터페이스 세트
  • 각 보안 제어에는 참조 구현이 있습니다.
  • 각 보안 제어에 대해 귀하의 조직에 맞게 구현하기 위한 옵션이 있습니다.

이 인터뷰 질문은 당신의 비바(구술)에도 도움이 될 것입니다.

공유

댓글을 남겨주세요.

귀하의 이메일 주소는 공개되지 않습니다. *표시항목은 꼭 기재해 주세요. *