728x90
반응형
SQL 인젝션
- 임의의 쿼리, 명령어를 조합하여 데이터베이스 인증을 우회/접속하는 해킹 기법
- 공격 코드를 검증되지 않거나 잘못 검증되는 문자열 스트링 값 기반의 변수를 가진 가변형 SQL에 투입하여 공격자가 원하는 작업을 실행하도록 하는 것
- 공격자가 자신이 생성한 SQL 질의를 응용 프로그램이 수행하게 만드는 것
- 데이터베이스 자체로는 보안이 안전하다 하더라도 응용 프로그램의 취약점을 이용하여 시스템에 심각한 피해를 줄 수 있는 것
- 응용에 들어 있는 SQL 문의 일부를 변경하여 불법적인 작업을 수행하는 일종의 보안 공격
SQL 인젝션 공격을 방어하기 위한 방법
- 데이터베이스 어플리케이션을 최소 권한으로 구동
- 데이터베이스 내장 프로시저를 사용
- 테이블 이름, 컬럼 이름, SQL 구조 등이 외부 HTML에 포함되어 나타나지 않도록 함
SQL 인젝션 공격에 대응하기 위한 조치
- 모든 입력의 유형, 길이, 형식, 범위 등에 대한 유효성을 검사
- 형식 검사와 길이 유효성 검사를 위하여 매개 변수를 사용
- 사용자 입력의 유효성을 검사하는 저장 프로시저를 사용
728x90
반응형
'디지털 포렌식 (Forensic) > 디지털포렌식전문가 2급 필기' 카테고리의 다른 글
| [디지털포렌식전문가 2급 필기] 4-5-2. 회복 (Recovery) (0) | 2020.10.27 |
|---|---|
| [디지털포렌식전문가 2급 필기] 4-5-1. 트랜잭션 (0) | 2020.10.26 |
| [디지털포렌식전문가 2급 필기] 4-4-3. 데이터 제어어 (DCL) (0) | 2020.10.26 |
| [디지털포렌식전문가 2급 필기] 4-4-2. 데이터 조작어 (DML) (0) | 2020.10.26 |
| [디지털포렌식전문가 2급 필기] 4-4-1. 데이터 정의어 (DDL) (0) | 2020.10.26 |