반응형
49. SQL 인젝션 - 보안의 기본 |
-
SQL 인젝션이란 웹 앱에 대한 입력을 악용하여, 앱의 뒤에서 작동하는 DB 에 부정으로 엑세스하는 공격이다.
SQL 인젝션이 성공하면 공격자는 거의 자유롭게 DB를 조작할 수 있게 되므로 부정 액세스나 정보의 절취 및 변조, 파괴 등이 가능해진다.
* SQL 인젝션의 구조
-
SQL 중 사용자가 입력하는 부분이 비어 있는 형태로, 입력 값을 채워 넣는 방식을 잘 사용한다.
앱에 입력하는 값을 부정으로 조작함으로써 SQL 의 조회 내용을 자유롭게 바꿀 수 있는 경우가 있다.
* SQL 인젝션을 허용하는 취약성과 대책
-
SQL 인젝션이 일어나는 원인은 사용자의 입력에 DB 에 대한 조회 내용이 단순한 빈칸 채우기의 범위를 넘어 자유롭게 바꿀 수 있게 되어 있는 취약성에 있다.
바꿀 수 없게 만드는 대책으로는 입력 값을 사용하여 SQL 문을 구성할 때 파라미터 바인드라는 기구를 사용하는 것 등이 있다.
반응형
'프로그래밍 놀이터 > 보안' 카테고리의 다른 글
| [도서 정리] 51. 크로스 사이트 스크립팅(XSS) - 보안의 기본 (0) | 2019.11.30 |
|---|---|
| [도서 정리] 50. OS 커맨드 인젝션 - 보안의 기본 (0) | 2019.11.29 |
| [도서 정리] 48. 버퍼 오버플로 - 보안의 기본 (0) | 2019.11.27 |
| [도서 정리] 47. 중간자 공격 - 보안의 기본 (0) | 2019.11.26 |
| [도서 정리] 46. 드라이브 바이 다운로드 - 보안의 기본 (0) | 2019.11.25 |
댓글