Home > Àüü±â»ç

[±ä±Þ] SQL ÀÎÁ§¼Ç ½Å±Ô Ãë¾àÁ¡ ¹ß°ß ÁÖÀÇ!

ÀÔ·Â : 2011-12-28 09:34
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
·Î±×ÀÎ ÀÎÁõ ¿ìȸ ¶Ç´Â µ¥ÀÌÅͺ£À̽º ³» °³ÀÎÁ¤º¸ À¯Ãâ ¿ì·Á


[º¸¾È´º½º ±èÁ¤¿Ï] ¹æÈ­º®À̳ª ±âŸ º¸¾È ¼Ö·ç¼Ç ¹æ¾î ¿ìȸ°¡ °¡´ÉÇÑ ½Å±Ô SQL ÀÎÁ§¼Ç Ãë¾àÁ¡ÀÌ ¹ß°ßµÅ »ç¿ëÀÚµéÀÇ ÁÖÀÇ°¡ ¿ä¸ÁµÈ´Ù.


À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È Àü¹®±â¾÷ÀÎ Æ®¸®´ÏƼ¼ÒÇÁÆ®(´ëÇ¥ ±èÁø¼ö)¿¡ µû¸£¸é SQL Injection °ø°ÝÀº µ¥ÀÌÅͺ£À̽º¸¦ °ü¸®ÇÏ´Â SQL ¸í·É¾î¿¡ °ø°ÝÄڵ带 ³Ö¾î ÇØÄ¿°¡ ¿øÇÏ´Â µ¿ÀÛÀ» Çϵµ·Ï ÇÏ´Â °ø°Ý±â¹ýÀ¸·Î ·Î±×ÀÎ ÀÎÁõÀ» ¿ìȸÇϰųª µ¥ÀÌÅͺ£À̽º¿¡ ÀÖ´Â ¾ÆÀ̵ð, Æнº¿öµå, ÁֹιøÈ£ µî °³ÀÎÁ¤º¸¸¦ À¯ÃâÇÏ´Â ±â¹ýÀÌ´Ù.


SQL ÀÎÁ§¼ÇÀ¸·Î ·Î±×ÀÎ ÀÎÁõ ¿ìȸ °ø°Ý ½Ã ÀϹÝÀûÀ¸·Î 'or 1=1 # ÄÚµå·Î °ø°ÝÇÏ¿© 1(True) °ªÀÌ ³ª¿Àµµ·Ï ÇÏÁö¸¸ Æ®¸®´ÏƼ¼ÒÇÁÆ®¿¡¼­ ¹ß°ßÇÑ ±â¹ýÀº '&1# Äڵ尡 ¿À¸é 0(False) °ªÀ¸·Î ¸®ÅÏ µÇ¾îµµ ÀÎÁõ ¿ìȸ°¡ °¡´ÉÇÑ °ø°ÝÀÌ´Ù.


¶ÇÇÑ, SQL °ø°Ý ½Ã ±âÁ¸¿¡ ÀÚÁÖ »ç¿ëµÇ´ø 'and%201=1' °ø¹é(space bar) ´ë½Å¿¡ %23%0a °°Àº Ư¼öÇÑ °ªÀ» »ç¿ëÇصµ µÇ¸ç, and ¿¬»ê ´ë½Å¿¡ '1^%23%0a1=1' °ú °°ÀÌ ^(XOR) °°Àº ¿¬»êÀ» »ðÀÔÇÏ¿©µµ °ø°ÝÀÌ °¡´ÉÇÏ´Ù. ¸¸¾à ±âÁ¸ ¹æ¹ýÀ¸·Î À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» ¹æ¾îÇÏ°í ÀÖ´Ù¸é À̹ø ½Å±Ô °ø°ÝÀº ¸·À» ¼ö ¾øÀ» °ÍÀ̶ó´Â °Ô Æ®¸®´ÏƼ¼ÒÇÁÆ® ÃøÀÇ ¼³¸íÀÌ´Ù.


Æ®¸®´ÏƼ¼ÒÇÁÆ® ÃøÀº ¡®exploit-db.com(±¹Á¦ÀûÀÎ ½Å±ÔÃë¾àÁ¡ °øÀ¯ »çÀÌÆ®)¡¯¸¦ ÅëÇÏ¿© ÇØ´ç °ø°Ý¿¡ ´ëÇÑ À§Çèµµ¸¦ °ËÁõ¹Þ¾ÒÀ¸¸ç, ÇöÀç ÀÚ»ç À¥¹æÈ­º®(Webs-Ray)ÀÇ ÆÐÄ¡µµ ¸ðµÎ ¿Ï·áÇß´Ù°í ¹àÇû´Ù.


Á¦¸ñ : False SQL Injection and Advanced Blind SQL Injection

¸µÅ© : http://www.exploit-db.com/papers/18263/


Æ®¸®´ÏƼ¼ÒÇÁÆ® °ü°èÀÚ´Â ¡°À¥¹æÈ­º® °°Àº ±âÁ¸ ´ëÃ¥À¸·Î´Â °ø°ÝÀ» ¿ìȸÇÒ ¼ö ÀÖ´Â Åë·Î°¡ ¿©ÀüÈ÷ ³²¾ÆÀֱ⠶§¹®¿¡ ¡®½ÃÅ¥¾îÄÚµù ¼Ö·ç¼Ç¡¯ Á¦Ç° µîÀ» ÀÌ¿ëÇØ °³¹ß´Ü°è¿¡¼­ºÎÅÍ º¸¾È Ãë¾àÁ¡À» °í·ÁÇÑ Á¤¹ÐÇÑ º¸¾ÈÁ¤Ã¥À» ¼¼¿ì´Â °ÍÀÌ Áß¿äÇÏ´Ù¡±¸ç, ¡°SQL ÀÎÁ§¼Ç °ø°Ý µîÀ¸·Î °³ÀÎÁ¤º¸°¡ À¯ÃâµÉ °æ¿ì º¸À̽ºÇÇ½Ì µî 2Â÷ ÇÇÇØ°¡ ¿ì·ÁµÇ´Â ¸¸Å­ ´Ù¸¥ À¥ º¸¾È ±â¾÷µéµµ À̹ø ½Å±Ô Ãë¾àÁ¡¿¡ ´ëÇÑ ºü¸¥ º¸¾È ÆÐÄ¡°¡ ¿ä±¸µÈ´Ù¡±°í ¹àÇû´Ù.


ÇÑÆí, SQL ÀÎÁ§¼ÇÀº ¹Ì±¹ MITRE ¹× SANS ¿¬±¸¼Ò¿¡¼­ ¹ßÇ¥ÇÑ ¡®2011³â CWE/SANS Top25¡¯ ¿¡¼­µµ °¡Àå Ãë¾àÇÑ ¡®º¸¾ÈÃë¾àÁ¡¡¯À¸·Î ¾ð±ÞµÈ ¹Ù ÀÖ´Ù.

[±èÁ¤¿Ï ±âÀÚ(boan3@boannews.com)]


<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)