Home > Àüü±â»ç

¡®Microsoft.com¡¯, SQL ÀÎÁ§¼Ç Ãë¾àÁ¡ ¹ß°ß!

ÀÔ·Â : 2010-04-28 16:59
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

¡°±¹³» »çÀÌÆ® ´ëºÎºÐ SQL ÀÎÁ§¼Ç°ú XSS °ø°Ý¿¡ Ãë¾àÇØ¡±


¼¼°è ÃÖ´ë ±Û·Î¹ú ±â¾÷Áß ÇϳªÀÎ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®»çÀÇ À¥»çÀÌÆ®¿¡¼­ SQL ÀÎÁ§¼Ç Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù´Â ³»¿ë(moonslab.com/930)ÀÌ ¹®½º·¦ ºí·Î±×¿¡ °ÔÀçµÆ´Ù. ´ë±Ô¸ð º¸¾ÈÀηÂÀ» °®Ãß°í ÀÖ´Â ±Û·Î¹ú ±â¾÷ÀÇ À¥»çÀÌÆ®¿¡¼­µµ ÀÌ·¯ÇÑ Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ´Â °ÍÀ» º¸¸é, ÇϹ°¸ç ±¹³» À¥»çÀÌÆ®µéÀÌ ¾ó¸¶³ª Ãë¾àÇÑ »óȲ¿¡ ³õ¿©ÀÖÀ»Áö´Â ºÒ º¸µí »·ÇÏ´Ù.    


°³ÀÎÁ¤º¸ À¯Ãâ¿¡ µû¸¥ »çȸÀû ºÒ¾È°¨ÀÌ Å©´Ù. °³ÀÎÁ¤º¸ À¯ÃâÀÇ °¡Àå Å« ¿øÀÎÀº ¹Ù·Î À¥»çÀÌÆ® Ãë¾àÁ¡À» °ü¸®ÇÏÁö ¾ÊÀºµ¥¼­ ±âÀÎÇÑ´Ù. ÃÖ±Ù ¹ß°£µÈ OWASP Top 10 2010³â ÆÇ¿¡¼­µµ ÀÌ·¯ÇÑ °æÇâÀ» ¹Ý¿µÇÏ°í ÀÖ´Ù. ÀÌ ¹®¼­¿¡ µû¸£¸é À¥»çÀÌÆ®ÀÇ Ãë¾àÁ¡ Áß °¡Àå ¼öÀ§¸¦ ´Þ¸®°í ÀÖ´Â °ÍÀÌ ¹Ù·Î SQL ÀÎÁ§¼Ç(Injection)°ú XSS(Å©·Î½º »çÀÌÆ® ½ºÅ©¸³ÆÃ) °ø°ÝÀ¸·Î ³ªÅ¸³µ´Ù.

 

<OWASP 2007³âµµ¿Í 2010³âµµ ¹öÀüÀÇ Ãë¾àÁ¡ ºñ±³/ ¹®½º·¦ ºí·Î±× Á¦°ø>


¹®½º·¦ ºí·Î±×¿¡ µû¸£¸é ¡°SQL ÀÎÁ§¼Ç ¹× XSS Ãë¾àÁ¡Àº À¥ »çÀÌÆ®ÀÇ Ãë¾àÁ¡ °¡¿îµ¥ °¡Àå ¸¹Àº ¿µÇâ·ÂÀ» ¹ÌÄ¡°í ÀÖÀ¸¸ç ±× ÇÇÇصµ ¸Å¿ì ½É°¢ÇÏ´Ù. ÃÖ±Ù¿¡ ¹ßÇ¥µÈ IBM X-Force 2009 º¸¾È °æÇâ ¹× À§Çè º¸°í¼­¿¡ µû¸£¸é ¾Æ·¡ µµÇ¥¿Í °°ÀÌ Ãë¾àÁ¡ÀÇ ¾à 40-50% Á¤µµ¸¦ SQL ÀÎÁ§¼Ç°ú XSS Ãë¾àÁ¡ÀÌ Â÷ÁöÇÏ°í ÀÖ´Ù¡±¸ç ¡°ÀÌ µÎ°¡Áö Ãë¾àÁ¡À» ÇØ°áÇϱâ À§ÇØ º¸¾È ¾÷°è¿¡¼­´Â ´Ù¾çÇÑ ³ë·ÂÀ» ¼ö³â° Áö¼ÓÇÏ°í ÀÖ´Ù. À¥ °ü·Ã Ãë¾àÁ¡À» ¸·±â À§Çؼ­´Â ´ÙÀ½°ú °°Àº Á¶Ä¡°¡ ¿ä±¸µÈ´Ù¡±°í ¹àÇû´Ù.


¡Þº¸¾È ÇÁ·Î±×·¡¹Ö(Secure Programming)

¡Þ WAF(Web Application Firewall) µµÀÔ ¹× ¿î¿µ

¡Þ²ÙÁØÇÑ º¸¾È Á¡°Ë(Q/A) ¹× Åø ÀÌ¿ë

 


ÀÌ Áß WAF¿Í °°Àº °æ¿ì´Â ±¹³»¡¤¿Ü¿¡ ´Ù¾çÇÑ Á¦Ç°ÀÌ ÆǸŵǰí ÀÖÁö¸¸ À¥ Ãë¾àÁ¡À» ÇØ°áÇϱâ À§Çؼ­´Â À¥ ¼Ò½º Äڵ忡 ´ëÇÑ Ãʱ⠰³¹ß½Ã¿¡ º¸¾È¿¡ ÀÔ°¢ÇÑ ÇÁ·Î±×·¡¹ÖÀÌ ÁøÇàµÇ¾î¾ß ÇÑ´Ù. Áï, À¥ ¼Ò½º¸¦ °íÄ¡Áö ¾Ê°í¼­´Â À¥ Ãë¾àÁ¡À» ¸·À» ¼ö ¾ø´Ù´Â °ÍÀÌ´Ù.


±× ¿¹·Î ¹®½º·¦ ºí·Î±×´Â ¡°WAF¸¦ ¼³Ä¡ÇÏ¿© ÇöÀç ¾ÈÀüÇÏ°Ô À¥»çÀÌÆ®¸¦ º¸È£ÇÏ°í ÀÖ´õ¶óµµ »õ·Î¿î À¥ Ãë¾àÁ¡À̳ª °ø°Ý ¹æ¹ýÀÌ ³ªÅ¸³µÀ» ¶§¿¡´Â ¹«¿ëÁö¹°ÀÌ µÉ °¡´É¼ºÀÌ ³ô´Ù. µû¶ó¼­ °³¹ß½Ã À¥ ¼Ò½º¿¡ ´ëÇÑ º¸¾È °ËÅä°¡ ¹Ýµå½Ã ÇÊ¿äÇÏ´Ù¡±°í °­Á¶Çß´Ù.


À¥ »çÀÌÆ®´Â Á¤ÀûÀ¸·Î À¯ÁöµÇ´Â °ÍÀÌ ¾Æ´Ï¶ó »õ·Ó°Ô ÆäÀÌÁö°¡ Ãß°¡µÇ°í, Á¦°ÅµÇ´Â ¼ºÁúÀ» Áö´Ï°í ÀÖ´Ù. µû¶ó¼­ À̺¥Æ®¿Í °°ÀÌ À¥ »çÀÌÆ® ³»¿¡ »õ·Î¿î ÆäÀÌÁö°¡ Ãß°¡µÇ´Â °æ¿ì¿¡´Â ±âÁ¸ À¥»çÀÌÆ®¿¡ Ãë¾àÁ¡ÀÌ ¾ø´õ¶óµµ »õ·Ó°Ô Ãß°¡µÉ °¡´É¼ºÀÌ Å©´Ù´Â À̾߱â´Ù.


±×·¸´Ù¸é ¾î¶»°Ô Ãë¾àÁ¡ °ü¸®¸¦ ÇØ¾ß ÇÒ±î. ¹®½º·¦ ºí·Î±×´Â ¡°À¥ °³¹ß ÇÁ·ÎÁ§Æ®°¡ ÁøÇàµÉ ¶§¿¡´Â Á¤±âÀûÀ¸·Î Q/A ¹× º¸¾È °Ë¼ö¸¦ °ÅÄ¡°í ¹®Á¦Á¡ÀÌ ¹ß°ßµÉ ¶§¿¡´Â ÀÌ ¹®Á¦Á¡¿¡ ´ëÇÑ ¿øÀÎ ¹× ÇØ°áÃ¥À» ÇÁ·Î±×·¡¸Ó ¹× PM µîÀÌ ÃæºÐÈ÷ °ËÅäÇÏ°í ÀÌÇØÇؾ߸¸ ¹®Á¦Á¡À» ÇØ°áÇÒ ¼ö ÀÖÀ¸¸ç ÀåÂ÷ »õ·Î¿î °³¹ß °úÁ¤ÀÌ ÁøÇàµÇ´õ¶óµµ Ãë¾àÁ¡ÀÌ ÀÖ´Â À¥ ¼Ò½º¸¦ °³¹ßÇÏ´Â ½Ç¼ö¸¦ ÁÙÀÏ ¼ö ÀÖ´Ù¡±°í Á¶¾ðÇß´Ù. 



¹Ý¸é, À¥ »çÀÌÆ®°¡ ¹æ´ëÇÑ °æ¿ì¶ó¸é ¾î¶³±î. À¥ »çÀÌÆ®ÀÇ º¸¾È °ËÅä¿¡ ¸¹Àº Àη°ú ½Ã°£, ±×¸®°í °æºñ°¡ ÇÊ¿äÇÒ °ÍÀÌ´Ù. ¶ÇÇÑ À¥ Ãë¾àÁ¡À» Á¡°ËÇØ Ã£¾Æ³»´Â ¼ö¸¹Àº À¥ ½ºÄ³³ÊµéÀÌ ÆǸŠ¹× ¹«·á·Î Á¦°øµÇ°í ÀÖÁö¸¸, »çÀÌÆ®°¡ Ä¿Áú¼ö·Ï ÀÌ ÅøÀ» ÀÌ¿ëÇØ º¸¾ÈÀ» °ËÅäÇϱ⿡´Â ½Ã°£ÀûÀ¸·Î³ª Åø ±â´ÉÀÇ ÇÑ°è µîÀ¸·Î ÀÎÇØ »ç¿ëÇϱ⠾î·Á¿î °ÍÀÌ Çö½ÇÀÌ´Ù.


¹®½º·¦ ºí·Î±×´Â ÀÌ·¯ÇÑ ¹®Á¦Á¡À» ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®(Microsoft) À¥»çÀÌÆ® Ãë¾àÁ¡À» ¿¹·Î µé¾î ¼³¸íÇÏ°í ÀÖ´Ù.

 


¡°¾Æ¸¶µµ MS´Â ±¹°¡º°·Î ¼ö¸¹Àº À¥»çÀÌÆ®¸¦ ¿î¿µÇÏ°í ÀÖÀ» °ÍÀ̸ç ÀÌµé »çÀÌÆ®¸¦ °ü¸®ÇÏ´Â µ¥¿¡´Â ¾öû³­ Àη°ú ºñ¿ëÀÌ µé °Í¡±À̶ó¸ç ¡°ÀÌ·¸°Ô Å« ±Ô¸ð·Î ¿î¿µµÇ´Â À¥»çÀÌÆ®¿¡¼­´Â º¸¾È¿¡ ÀÔ°¢ÇÑ ÇÁ·Î±×·¡¹ÖÀÌ ÃʱâºÎÅÍ ÁøÇàµÇÁö ¾Ê´Â´Ù¸é ¾Æ·¡ÀÇ È­¸é°ú °°ÀÌ Ä¡¸íÀûÀÎ Ãë¾àÁ¡À» ³ëÃâ½Ãų ¼ö¹Û¿¡ ¾ø´Ù¡±°í ÁöÀûÇß´Ù.


¶Ç ÀÌ Ãë¾àÁ¡¿¡ ´ëÇØ ¡°À¥ »çÀÌÆ® ³»¿¡ Æ÷ÇԵǾî ÀÖ´Â µ¥ÀÌÅͺ£À̽º¿¡ ¹Ù·Î Á¢¼ÓÇÏ´Â ¾ÆÁÖ Å©¸®Æ¼ÄÃÇÑ ¹®Á¦´Â ¾Æ´ÏÁö¸¸, ±×·¯ÇÑ °ø°Ý °æ·Î ¹× ±âŸ ´Ù¸¥ ¹æ¹ýÀ¸·Î À¥»çÀÌÆ®¸¦ °ø°ÝÇÒ ¼ö ÀÖ´Â ¿£Æ®¸® Æ÷ÀÎÆ®³ª Á¢±Ù °æ·Î·Î ÀÌ¿ëµÉ ¼ö ÀÖ´Ù´Â Á¡À» ¸í½ÉÇØ¾ß ÇÑ´Ù¡±°í °æ°íÇß´Ù. 


ô¹ÚÇÑ °³¹ßȯ°æ¿¡¼­ »ý»êµÇ°í ÀÖ´Â ±¹³» À¥»çÀÌÆ®µéÀº ´ëºÎºÐ SQL ÀÎÁ§¼Ç Ãë¾àÁ¡°ú XSS °ø°Ý¿¡ Ãë¾àÇÑ »óŶó°í Àü¹®°¡µéÀº ¸»ÇÏ°í ÀÖ´Ù. ³×Æ®¿öÅ© º¸¾È°ú ³»ºÎÀÚ º¸¾È¿¡ ÅõÀÚ¸¦ ÇÏ´Â °Íµµ Áß¿äÇÏÁö¸¸ À¥ Ãë¾àÁ¡À» Áö¼ÓÀûÀÌ°í ±Ùº»ÀûÀ¸·Î ÇØ°áÇÏÁö ¾Ê´Â´Ù¸é ¸ðµç °ÍÀÌ ¸»Â¯ µµ·ç¹¬À̶õ °ÍÀ» ±â¾÷µéÀº ¾Ë¾Æ¾ß ÇÑ´Ù.

[±æ¹Î±Ç ±âÀÚ(reporter21@boannews.com)]


<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)