1. SQL Injection이란?

안녕하세요

베비온입니다.

오늘은 국정원 8대 취약점 및  OWASP TOP 10 상위권에 자주 등장하는 Injection중에서도

SQL을 이용한 Injection을 살펴보겠습니다.

---

SQL Injection이란?

웹 클라이언트의 반환 메시지를 이용하여 불법 인증 및 정보를 유출하는 공격. 웹 응용 프로그램에 강제로 구조화 조회 언어(SQL) 구문을 삽입하여 내부 데이터베이스(DB) 서버의 데이터를 유출 및 변조하고 관리자 인증을 우회할 수도 있다. 이 공격은 MS SQL 서버뿐만 아니라 모든 관계형 데이터베이스 관리 시스템(RDBMS)에서 가능하다.

[네이버 지식백과] SQL 주입 공격 [SQL injection, -注入攻擊] (IT용어사전, 한국정보통신기술협회)

사전적 의미 입니다.

즉 SQL Query를 사용하여 서버의 SQL 인터프리터로 보내 보안 허점을 이용, 예상치 못한 SQL문을 실행하게 하여 데이터베이스가 비정상적으로 작동하게 만드는 구문입니다.

---

owasp에서 발표한 것 처럼 Injection의 공격방법은 쉬움입니다.

몇개의 글자로도 이루어 질 수 있는 것이 injection이죠.

또한 Injection의 종류가 많고 기술이 복잡한 종류도 있어서 완벽한 방어가 쉽지 않습니다.

전 앞서 만들어 놓았던 제 CentOS 서버를 이용하여 여러가지 SQL Injection을 실습해보겠습니다.