이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:

작성자: 잽싼곰탱이

편집자: 엔시스(sis@sis.pe.kr)

 

1. SQL Injection이란?
   
DB로 전달되는 SQL Query를 변경시키기 위해 Web Application에서 입력받은 파라메터를 변조,
     삽입하여 
비정상적인 DB접근을 시도하는 기술.     ===============================================================================================
     ex. 일반적인 SQL Injection 패턴
          ' or 1=1--
          " or 1=1--
            or 1=1--
          ' or 'a'='a
          " or "a"="a
          ') or ('a'='a
          ' or password like '%
    ===============================================================================================
     위의 예제와 같은 패턴을 로그인창 ID, PW 입력칸에 넣으면 관리자 권한 획득이 가능하다.

2. Mass SQL Injection이란?
   
가. 정의
           기존 SQL Injection에서 확장된 개념. Mass는 "대량의, 집단의"란 뜻으로 한번의 공격으로 
           대량의 DB값이 변조되어 해당 홈페이지에 치명적인 악영향을 미치는 것이다.
      나. 방식
          1) 일부분 HEX 인코딩 방식
          2) 전체 HEX 인코딩 방식
      다. 공격방법
          1) DB값 변조시 홈페이지에 악성 스크립트 삽입
          2) 사용자들이 변조된 사이트 방문시 악성 스크립트에 감염되거나 Bot 설치
          3) 감염된 좀비PC를 통해 온라인 게임계정 해킹과 DDoS공격이 가능
      라. 악성 스크립트에 사용되는 파일형식
          js(자바 스크립트 파일), swf(플래시 파일), exe(실행파일)이 주로 이용됨.

3. Mass SQL Injection에 취약한 환경
    MS-SQL, ASP, IIS웹서버
     MS-SQL을 사용하며 ASP가 가동중인 IIS서버를 주 공격대상으로 한다.

4. 공격형태의 도식화


5. 대응방안
   가. 쿼리스트링에 대한 길이제한
   나. 코딩시 SQL-Injection 공격에 대비한 소스코딩
   다. 입력문자 제한, 필터링 적용
   라. 정기적인 DB/시스템 백업 실시
   마. 웹 방화벽 사용

6. 참고자료
   가. 2008. 6 NSHC 보안컨설팅팀(김경수, 박용운 컨설턴트) Mass SQL Injection 공격기법과
        대응방안

 

****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 비회원

댓글을 달아 주세요

  1. Favicon of https://whoaru.tistory.com BlogIcon 후아유! 2009.03.24 01:10 신고  댓글주소  수정/삭제  댓글쓰기

    SQL Injection에 대해서 간략하게 잘 정의해 주셔서 감사합니다^^
    그림으로 보니까 한눈에 또 들어오네요^^/

  2. Favicon of https://eva1717.tistory.com BlogIcon eva1717 2009.03.24 01:21 신고  댓글주소  수정/삭제  댓글쓰기

    +A+ 눈에 쏙쏙 들어옵니다.. 좋은 자료 좋은 포스팅 잘 보았습니다..^^*

  3. Favicon of https://j34nh4.tistory.com BlogIcon [파란바람] 2009.03.24 01:28 신고  댓글주소  수정/삭제  댓글쓰기

    리플들이 달려있길래 순간 공개된 글인줄 알았습니다..ㅎㅎ;;

  4. Favicon of https://boanin.tistory.com BlogIcon 보안인닷컴 2009.03.24 14:44 신고  댓글주소  수정/삭제  댓글쓰기

    그런데 꼭 형태가 기술사 시험 정리한 형태와 아주 많이 닮았군요....

    • Favicon of http://fbsecurity.tistory.com BlogIcon 잽싼곰탱 2009.03.24 22:47 신고  댓글주소  수정/삭제

      그렇습니까? 대장님...? 기술사 요약자료 본 적은 없고
      제 문서작성 스타일대로 작성한 건데~^^;
      그리고 잽싼곰탱보다 잽싼곰탱이가 더 좋은데요? ㅋ

  5. 블래스트 2009.03.24 15:31  댓글주소  수정/삭제  댓글쓰기

    자료 감사합니다. 제 지식창고에 쏙~ 감사합니다...^^

  6. 심규남 2009.03.25 15:13  댓글주소  수정/삭제  댓글쓰기

    정말 이해하기 쉽게 잘설명해주셨네요..ㅎㅎ 그런대 그림이 잘안보여요..크게 보려면 어떻게 해야하나요?

  7. Favicon of https://www.extraman.net BlogIcon ^________________^ 2009.03.25 23:34 신고  댓글주소  수정/삭제  댓글쓰기

    음...그림이 안 커지는게 좀 흠이지만..
    깔끔하니 좋은 포스팅인듯합니다..
    면접시 많은 도움이 될듯...

    흠..곰탱 다시한번 축하하고..한잔꺽어야할꺼인디..

  8. 신내릴라 2009.05.24 10:28  댓글주소  수정/삭제  댓글쓰기

    잘보고~ 잘 알아갑니다!!
    쉽게 설명해 주셨네요~ ^^

  9. 기초없이그냥 2009.05.27 10:18  댓글주소  수정/삭제  댓글쓰기

    보면 잘 정리 되었다고 말할수 있는 날이 제게도 오겠지요.그냥 보고 넘겨버리는 슬픔을 아시는지요?ㅠㅠ