SQL injection (SI)
- SQL문으로 해석될 수 있는 입력을 시도하여 데이터베이스에 접근할 수 있는 취약점으로, 대부분의 웹 사이트들은 사용자로부터 입력받은 값을 이용해 데이터베이스 접근을 위한 SQL Query를 만들고 있다. 사용자 로그인 과정을 예로 들면, 사용자가 유효한 계정과 패스워드를 입력했는지 확인하기 위해 사용자 계정과 패스워드에 관한 SQL Query문을 만든다. 이때 SQL injection 기법을 통해서 정상적인 SQL query를 변조할 수 있도록 조작된 사용자 이름과 패스워드를 보내 정상적인 동작을 방해할 수 있다.
판단기준
양호 : : SQL 인젝션 관련 검증 로직 존재 및 인젝션 불가능
취약 : SQL 인젝션 관련 검증 로직 존재하지 않고 인젝션 가능
SQL injection 대응방안
- 인젝션 관련 특수문자 필터링
- 방화벽 구현
'web' 카테고리의 다른 글
| Xpath injection (XI) (0) | 2021.09.21 |
|---|---|
| SSI injection (SS) (0) | 2021.09.20 |
| 운영체제 명령 실행 (OC) (0) | 2021.09.18 |
| LDAP 인젝션 (LI) (0) | 2021.09.17 |
| 포맷 스트링 (FS) (0) | 2021.09.16 |