악의적인 SQL 코드를 데이터베이스 시스템에 삽입하고 실행시키는 공격 기법
공격 방법
- Blind SQL injection: 응답 시간이나 참과 거짓의 정보만을 통해 정보 추출
- Error based SQL injection: 에러 정보를 이용하여 구조 파악, 데이터 추측
- Union based SQL injection: UNION SQL 연산자를 데이처 추출
- Stored Procedure SQL injection: SQL 명령어 집합인 Stored Procedure를 이용해 공격
- Mass SQL Injection: 한 번의 공격으로 다량의 DB가 조작, DB에 악성스크립트를 삽입해 공격
방어 방법
- 입력값 검증
- Prepared Statements 사용: SQL 쿼리 실행 시 입력값을 분리하여 삽입
- 에러 메시지 노출 금지
'DB' 카테고리의 다른 글
| Redis (0) | 2024.03.01 |
|---|---|
| 저장 프로시저 (0) | 2024.03.01 |
| 트랜잭션(Transaction) (2) | 2024.02.24 |
| 인덱스(Index) (2) | 2024.02.24 |
| 정규화(Normalization) (2) | 2024.02.24 |