IT 기초/Security

[Security] SQL Injection

데이터 세상 2021. 12. 27. 17:39
728x90
반응형

SQL Injection

  • 응용 프로그램 보안 상의 허점을 의도적으로 이용해, 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션 공격 방법

 

Blind SQL injection

  • 평범한 SQL injection과 같이 원하는 데이터를 가져올 쿼리를 삽입하는 기술
  • Database 메시지가 공격자에게 보이지 않을 때 사용
  • 평범한 SQL injection은 쿼리를 삽입하여 원하는 데이터를 한번에 얻어낼 수 있는 데에 비해 Blind SQL 삽입은 참과 거짓, 쿼리가 참일때와 거짓일 때의 서버의 반응 만으로 데이터를 얻어내는 기술

 

방어

  • 준비된 선언(Prepared statement): 사용자의 입력이 쿼리문(SQL 선언 템플릿)으로부터 분리되기 때문에 SQL 삽입을 효과적으로 방어
  • Escape: SQL에서 특별한 의미를 갖는 문자들을 이스케이프해서 SQL 삽입을 방어
728x90
반응형

'IT 기초 > Security' 카테고리의 다른 글

CDN(Content Delivery Network)  (0) 2021.12.27
[Security] UTM(Unified Threat Management)  (0) 2021.12.27
[Security] DDoS Attack  (0) 2021.12.27
[Security] IDS/IPS  (0) 2021.12.27
[Security] WAF (Web Application Firewall)  (0) 2021.12.27