: 사용자의 입력 값 등 외부 입력 값이 SQL 쿼리에 삽입되어 공격
- 임의로 작성한 SQL 구문을 애플리케이션에 삽입
- 취약점: 주로 웹 어플리케이션과 DB가 연동되는 부분
- DBMS의 종류에 따라 SQL injection 공격 기법이 다름
- SQL Injection을 수행 가능한 경우: 로그인과 같이 웹에서 사용자가 입력 값을 받아 DB SQL문으로 데이터를 요청하는 경우
: 검증되지 않은 외부 입력 값에 의해 브라우저에서 악의적인 코드가 실행
: 운영체제 명령어 파라미터 입력 값이 적절한 사전 검증을 거치지 않고 사용되어 공격자가 운영체제 명령어 조작
: 자원을 조작할 수 있는 문자열을 접근하여 시스톔이 보호하는 자원에 임의로 접근할 수 있는 취약점
1) 식별 및 인증
2) 임의적 접근 통제(DAC)
3) 강제적 접근 통제(MAC)
4) 객체 재사용 방지
: 발신지 인증, 데이터 무결성, 기밀성 모두를 보장
: 발신지 호스트를 인증, IP 패킷의 무결성 보장
: 보안 관련 설정들을 생성
: Tunnel 모드, Transport 모드