728x90
반응형
개념정리
SQL Injection이란? (SQL 삽입공격)
SQL Injection이란?
- SQL Injection 이란 악의적인 사용자가 보안상의 취약점을 이용하여, 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위
- 인젝션 공격은 OWASP Top10 중 세 번째에 속해 있으며(2021년 기준), 공격이 비교적 쉬운 편이고 공격에 성공할 경우 큰 피해를 입힐 수 있는 공격
OWASP TOP 10이란
Open Web Application Security Project에서 선정하는 악용가능성, 탐지가능성 및 영향에 대해 빈도수가 높고 보안상 영향을 크게 줄 수 있는 10가지 웹 애플리케이션 보안 취약점 목록으로, OWASP Top 10 목록은 3~4년에 한번씩 정기적으로 업데이트 됨
참고 자료 : https://blog.alyac.co.kr/4135
공격종류 및 방법
Error based SQL Injection
- 논리적 에러를 이용한 SQL Injection
- 가장 많이 쓰이고, 대중적인 공격 기법
- Users 테이블의 모든 정보를 조회하게 되고 가장먼저 만들어진 계정(관리자 계정)으로 로그인 하여 관리자 권한을 이용한 2차 피해가 발생할 수 있다.
Union based SQL Injection
- Union 명령어를 이용한 SQL Injection
- SQL 에서 Union 키워드는 두 개의 쿼리문에 대한 결과를 통합해서 하나의 테이블로 보여주게 하는 키워드인데 정상적인 쿼리문에 Union 키워드를 사용하여 인젝션에 성공하면, 원하는 쿼리문을 실행할 수 있게된다.
- Union 키워드를 이용하여 두 쿼리문이 합쳐서서 하나의 테이블로 보여지게 된다.
- 인젝션 한 구문은 사용자의 id와 passwd를 요청하는 쿼리문으로 인젝션이 성공하게 되면, 사용자의 개인정보가 게시글과 함께 화면에 보여지게 됩니다.
- 이 공격도 역시 입력값에 대한 검증이 없기 때문에 발생한다.
Blind SQL Injection
- Boolean based SQL
- 단순히 참과 거짓의 정보만 알 수 있을 때 사용한다.
- 로그인 폼에 SQL Injection이 가능하다고 가정 했을 때, 서버가 응답하는 로그인 성공과 로그인 실패 메시지를 이용하여, DB의 테이블 정보 등을 추출해 낼 수 있다.
- Time based SQL
- 서버로부터 특정한 응답 대신에 참 혹은 거짓의 응답을 통해서 데이터베이스의 정보를 유추하는 기법이다.
Stored Procedure SQL Injection
- 저장된 프로시저 에서의 SQL Injection
- 저장 프로시저(Stored Procedure) 은 일련의 쿼리들을 모아 하나의 함수처럼 사용하기 위한 것이다.
- 공격에 사용되는 대표적인 저장 프로시저는 MS-SQL 에 있는 xp_cmdshell로 윈도우 명령어를 사용할 수 있게 된다.
- 단, 공격자가 시스템 권한을 획득 해야 하므로 공격난이도가 높으나 공격에 성공한다면, 서버에 직접적인 피해를 입힐 수 있는 공격이다.
Mass SQL Injection
- 다량의 SQL Injection 공격
- 2008년에 처음 발견된 공격기법으로 기존 SQL Injection 과 달리 한번의 공격으로 다량의 데이터베이스가 조작되어 큰 피해를 입히는 것을 의미한다.
- 보통 MS-SQL을 사용하는 ASP 기반 웹 애플리케이션에서 많이 사용되며, 쿼리문은 HEX 인코딩 방식으로 인코딩 하여 공격한다.
- 보통 데이터베이스 값을 변조하여 데이터베이스에 악성스크립트를 삽입하고, 사용자들이 변조된 사이트에 접속 시 좀비PC로 감염되게 한다. 이렇게 감염된 좀비 PC들은 DDoS 공격에 사용된다.
대응방안
입력 값에 대한 검증
- SQL Injection 에서 사용되는 기법과 키워드는 엄청나게 많다. 그렇기 때문에 사용자의 입력 값에 대한 검증이 필요
- 서버 단에서 화이트리스트 기반으로 검증해야 한다. 블랙리스트 기반으로 검증하게 되면 수많은 차단리스트를 등록해야 하고, 하나라도 빠지면 공격에 성공하게 되기 때문
화이트리스트 검증
허용가능한 입력값에 대한 리스트 검증
블랙리스트 검증
허용되지 않는 입력값에 대한 리스트 검증
Prepared Statement 구문사용
- Prepared Statement 구문을 사용하게 되면, 사용자의 입력 값이 데이터베이스의 파라미터로 들어가기 전에DBMS가 미리 컴파일 하여 실행하지 않고 대기한다.
- 그 후 사용자의 입력 값을 문자열로 인식하게 하여 공격쿼리가 들어간다고 하더라도, 사용자의 입력은 이미 의미 없는 단순 문자열 이기 때문에 전체 쿼리문도 공격자의 의도대로 작동하지 않는다.
Error Message 노출 금지
- 공격자가 SQL Injection을 수행하기 위해서는 데이터베이스의 정보(테이블명, 컬럼명 등)가 필요하다.
- 데이터베이스 에러 발생 시 따로 처리를 해주지 않았다면, 에러가 발생한 쿼리문과 함께 에러에 관한 내용을 반환해주는데 여기서 테이블명 및 컬럼명 그리고 쿼리문이 노출이 될 수 있기 때문에, 데이터 베이스에 대한 오류발생 시 사용자에게 보여줄 수 있는 페이지를 제작 혹은 메시지박스를 띄우도록 한다.
웹 방화벽 사용
- 웹 공격 방어에 특화되어있는 웹 방화벽을 사용하는 것도 하나의 방법이다.
- 웹 방화벽은 소프트웨어 형, 하드웨어 형, 프록시 형 이렇게 세가지 종류로 나눌 수 있는데 소프트웨어 형은 서버 내에 직접 설치하는 방법이고, 하드웨어 형은 네트워크 상에서 서버 앞 단에 직접 하드웨어 장비로 구성하는 것이며 마지막으로 프록시 형은 DNS 서버 주소를 웹 방화벽으로 바꾸고 서버로 가는 트래픽이 웹 방화벽을 먼저 거치도록 하는 방법이다.
728x90
반응형
'개발 하나둘셋 > CS' 카테고리의 다른 글
| 웹소켓 개념과 원리 (0) | 2021.12.30 |
|---|---|
| [ Algorithm] 시간복잡도 / 공간복잡도 / 점근 표기법 (0) | 2021.12.04 |
| TDD의 장단점 (0) | 2021.11.29 |
| [네트워크] RESTful 하게 API를 디자인 한다는 것은? (0) | 2021.11.29 |
| [네트워크] HTTP와 HTTPS의 특징과 차이점 (0) | 2021.11.19 |
