SQL이란?
- 관리시스템 데이터 관리 위해 특수 목적의 프로그래밍 언어
SQL 삽입 공격 개요
- SQL 명령어 입력-> 웹사이트 침투-> 서버 제어 및 공격
- Phrack 매거진 54호-> SQL문 변조 가능성 제기
- Rain Forest Puppy-> SQL 인젝션 문서 공개
- OWASP 국제 웹 보안 분야 비영리기구에서 3년 마다 발표하는 대표적인 공격 방식들: OWASP Top10
(2010년 2013년 계속적으로 인젝션 공격이 포함)- 웹 분야에서 상당히 많은 공격의 도구로 사용
SQL 삽입 공격의 기본 원리
- 조작된 SQL 쿼리문을 입력함으로써 데이터베이스의 정보를 빼내는 방식
- DB 특정 정보 조작 및 삭제
SQL 삽입 공격 안전 방법
- 안전한 웹 사이트 설계와 구현
- 입력 값 검증 절차 구현
- 입력값 검사 및 치환
- DB 에러 메시지 노출 X-> DB구조, 이름 파악
- 웹 방화벽 활용
- 웹 보안 취약점 주기적 점검
Let's study!