SQL INJECTION 취약점 이해 및 시나리오 정리

1. SQL INJECTION  취약점 이해

 

SQL INJECTION 공격은 사용자의 입력 값을 검사하지않는 웹 어플리케이션 내에 악의적인 사용자가 스크립트를 삽입하여 사용자로 하여금 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취하는 공격 기법이다.

 

2. SQL INJECTION 취약점으로 발생할 수 있는 공격 시나리오

① 공격자는 SQL 인젝션을 통해 웹 서비스의 인터넷 영역에 접근 시도

② 정의되지 않은 쿼리(질의)문을 삽입한 뒤 전송하고, 악의적인 SQL문을 실행시켜 의도적으로 오류를 도출. 이때 반환되는 값으로부터 데이터베이스의 구조 및 시스템의 허점을 파악

③ 악의적인 쿼리를 삽입하여 데이터베이스의 중요정보(주민등록번호, 대외비 정보 등)를 탈취