SQL 인젝션 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
5번째 줄: | 5번째 줄: | ||
* [[OWASP|OWASP TOP10]]에서 꾸준히 상위권을 유지하는, 가장 흔한 웹해킹 기법 중 하나 | * [[OWASP|OWASP TOP10]]에서 꾸준히 상위권을 유지하는, 가장 흔한 웹해킹 기법 중 하나 | ||
= 공격 유형 및 예제 = | |||
== 로그인 하기 == | |||
* 대상 | * 대상 | ||
<pre> | <pre> | ||
24번째 줄: | 24번째 줄: | ||
</pre> | </pre> | ||
== 테이블 명 알아내기 == | |||
* 대상 | * 대상 | ||
<pre> | <pre> | ||
39번째 줄: | 39번째 줄: | ||
</pre> | </pre> | ||
=== 블라인드 SQL 인젝션 | == 로그인 하기 == | ||
== 블라인드 SQL 인젝션 == | |||
* SQL 인젝션을 통해 단순히 참 거짓을 판단할 수 있는 상황에서 실제 값을 파악하기 위한 공격 | * SQL 인젝션을 통해 단순히 참 거짓을 판단할 수 있는 상황에서 실제 값을 파악하기 위한 공격 | ||
* 일반적인 SQL 인젝션에 대해 방어가 잘 되어 있는 경우라도 블라인드 SQL이 동작하는 경우가 많다. | * 일반적인 SQL 인젝션에 대해 방어가 잘 되어 있는 경우라도 블라인드 SQL이 동작하는 경우가 많다. | ||
49번째 줄: | 51번째 줄: | ||
* 이런 공격을 반복하면 한글자 한글자 파악 가능하다. | * 이런 공격을 반복하면 한글자 한글자 파악 가능하다. | ||
= 대응 방법 = | |||
* 입력값 검증 | * 입력값 검증 | ||
** 데이터 타입: 예를 들어 숫자만 입력되어야 하는 필드에 숫자가 아닌 것이 입력되었으면 에러 처리를 한다. | ** 데이터 타입: 예를 들어 숫자만 입력되어야 하는 필드에 숫자가 아닌 것이 입력되었으면 에러 처리를 한다. |