본문 바로가기
매일코딩/보안&정보처리기사

sql 인젝션 2

by 인생여희 2018. 7. 17.
반응형


sql 인젝션



1.입력데이터 검증 기법

2.sql 인젝션

3.명령어 인젝션 취약점원인



입력데이터 검증 방식 


입력데이터 처리를 위한 규칙




설계자나 개발자는 외부에서 입력되는 값을 철저히 통제해야됨



입력값 검증은 애플리케이션에서 먼저 체크되어야 함


서버 애플리케이션에도 체크되어야 함



view  컴포넌트, controller 컴포넌트에 동시에 체크 해야 함



#sql 인젝션 취약점 개요



웹 애플리케이션에서 값을 입력받을 때 

동적 쿼리 생성, 데이터 베이스에 쿼리를 전달하여 실행하는 경우 발생


검증되지 않은 외부 입력값으로 인해 정상적인 쿼리가 변조되어 데이터 베이스에 불법적으로

데이터 열람, 수정, 삭제 됨


저장된 프로시저를 사용하여 시스템 명령 수행




비정상적으로 데이터베이스에 접근하거나 제어하는 공격 기법


모든 종류의 dbms에 적용 가능한 공격 기법




예) 악성 스크립트의 실행, 외부 프로그램의 사용, 불법 로그인, db 정보 열람, 추가,수정,삭제


프로시저를 통한 운영체제 명령어 수행



#sql 취약점 진단



form based sql 인젝션 진단



정적 쿼리 구조를 이용하여 sql 실행




명령어 인젝션 취약점 개요























































반응형

댓글