DB

SQL injection

탁재민 2024. 2. 26. 21:44
악의적인 SQL 코드를 데이터베이스 시스템에 삽입하고 실행시키는 공격 기법

 

공격 방법

  1. Blind SQL injection: 응답 시간이나  참과 거짓의 정보만을 통해 정보 추출
  2. Error based SQL injection: 에러 정보를 이용하여 구조 파악, 데이터 추측
  3. Union based SQL injection: UNION SQL 연산자를 데이처 추출
  4. Stored Procedure SQL injection: SQL 명령어 집합인 Stored Procedure를 이용해 공격
  5. Mass SQL Injection: 한 번의 공격으로 다량의 DB가 조작, DB에 악성스크립트를 삽입해 공격

방어 방법

  • 입력값 검증
  • Prepared Statements 사용: SQL 쿼리 실행 시 입력값을 분리하여 삽입
  • 에러 메시지 노출 금지
댓글수1