SQL Injection

SQL Injetion

💡SQL Injection은 데이터베이스에 임의의 SQL문을 실행 할 수 있도록 명령어를 삽입하는 공격 유형이다. 응용프로그램의 보안상의 허점을 이용해 데이터베이스를 비정상적으로 조작하며, 이로 인해 기록이 삭제되거나 데이터가 유출될 수 있다.

만약 로그인 시스템이 있고 로그인 시스템의 SQL 문은 다음과 같다고 가정하자

SELECT * FROM user WHERE auth='admin' AND id = 'abcd'

공격자는 inputform에 일반 텍스트가 아닌 SQL 문을 작성한다. 입력 받은 아이디와 패스워드를 통해 데이터베이스를 조회하는데 만약 패스워드를 'OR '1' = '1을 넣어 보낸다면

SELECT * FROM users WHERE auth ='admin' AND id='' OR '1' ='1';
라는 SQL 문이 완성되고 OR은 And보다 연산 순위가 낮으므로 OR 절이 가장 마지막에 실행되어 결국 로그인에 실행된다.

만약 공격자가 악의적으로 '; DROP TABLES users;--'라고 적으면 데이터가 다 날라가는 대참사가 발생한다.

대응 방안

1. 입력 값 검증
   화이트 리스트 방식으로 키워드가 들어오면 다른 값으로 치환해서 SQL Injection에 대응한다.

2. Prepared Statement구문
   Prepare Statement구문을 사용하면 사용자의 입력이 SQL문으로부터 분리되어 SQL Injection을 막을 수 있다. 사용자의 입력값이 전달되기 전 데이터베이스가 미리 컴파일 되어 SQL문을 바로 실행하지 않고 대기하며 사용자의 입력값을 단순 텍스트로 인식한다.

3. ErrorMessage 노출 금지
   공격자는 데이터베이스의 Error Message를 통해 테이블이나 데이터베이스의 정보를 얻을 수 있으므로 에러 메시지가 노출되지 않도록 해야 한다.