반응형
안녕하세요
베비온입니다.
오늘은 국정원 8대 취약점 및 OWASP TOP 10 상위권에 자주 등장하는 Injection중에서도
SQL을 이용한 Injection을 살펴보겠습니다.
SQL Injection이란?
웹 클라이언트의 반환 메시지를 이용하여 불법 인증 및 정보를 유출하는 공격. 웹 응용 프로그램에 강제로 구조화 조회 언어(SQL) 구문을 삽입하여 내부 데이터베이스(DB) 서버의 데이터를 유출 및 변조하고 관리자 인증을 우회할 수도 있다. 이 공격은 MS SQL 서버뿐만 아니라 모든 관계형 데이터베이스 관리 시스템(RDBMS)에서 가능하다.
[네이버 지식백과] SQL 주입 공격 [SQL injection, -注入攻擊] (IT용어사전, 한국정보통신기술협회)
사전적 의미 입니다.
즉 SQL Query를 사용하여 서버의 SQL 인터프리터로 보내 보안 허점을 이용, 예상치 못한 SQL문을 실행하게 하여 데이터베이스가 비정상적으로 작동하게 만드는 구문입니다.
owasp에서 발표한 것 처럼 Injection의 공격방법은 쉬움입니다.
몇개의 글자로도 이루어 질 수 있는 것이 injection이죠.
또한 Injection의 종류가 많고 기술이 복잡한 종류도 있어서 완벽한 방어가 쉽지 않습니다.
전 앞서 만들어 놓았던 제 CentOS 서버를 이용하여 여러가지 SQL Injection을 실습해보겠습니다.
반응형
'Hacking > SQL Injection' 카테고리의 다른 글
4. 게시판의 컬럼 갯수 알아내기 (0) | 2017.04.27 |
---|---|
3.SQL Injection - 로그인 우회하기 (0) | 2017.04.24 |
2.SQL Injection의 종류 (0) | 2017.04.24 |