SQL Injection
- 응용 프로그램 보안 상의 허점을 의도적으로 이용해, 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션 공격 방법
Blind SQL injection
- 평범한 SQL injection과 같이 원하는 데이터를 가져올 쿼리를 삽입하는 기술
- Database 메시지가 공격자에게 보이지 않을 때 사용
- 평범한 SQL injection은 쿼리를 삽입하여 원하는 데이터를 한번에 얻어낼 수 있는 데에 비해 Blind SQL 삽입은 참과 거짓, 쿼리가 참일때와 거짓일 때의 서버의 반응 만으로 데이터를 얻어내는 기술
방어
- 준비된 선언(Prepared statement): 사용자의 입력이 쿼리문(SQL 선언 템플릿)으로부터 분리되기 때문에 SQL 삽입을 효과적으로 방어
- Escape: SQL에서 특별한 의미를 갖는 문자들을 이스케이프해서 SQL 삽입을 방어
반응형
'IT 기초 > Security' 카테고리의 다른 글
| CDN(Content Delivery Network) (0) | 2021.12.27 |
|---|---|
| [Security] UTM(Unified Threat Management) (0) | 2021.12.27 |
| [Security] DDoS Attack (0) | 2021.12.27 |
| [Security] IDS/IPS (0) | 2021.12.27 |
| [Security] WAF (Web Application Firewall) (0) | 2021.12.27 |