IT@Security 보안컨설팅 #4 주통기 실습 5. SQL 인젝션

728x90

5. SQL 인젝션

<개요>

■ SQL 인젝션이란?

SQL 삽입(영어: SQL Injection, SQL 인젝션, SQL 주입)은 응용 프로그램 보안 상의 허점을 의도적으로 이용해, 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션 공격 방법이다.

사용자의 입력 값으로 웹 사이트 SQL 쿼리가 완성되는 약점을 이용하며, 입력 값을 변조하여 비정상적인 SQL 쿼리를 조합하거나 실행하는 공격이다. 개발자가 생각지 못한 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작 가능하게 한다.

예

다음과 같이 사용자의 아이디와 비밀번호를 확인하고 일치하면 로그인을 하는 PHP 프로그램이 있다고 하자.

$username = $_POST["username"];
$password = $_POST["password"];

$mysqli->query("SELECT * FROM users WHERE username='{$username}' AND password='{$password}'");

위의 코드는 사용자로부터 아이디와 비밀번호를 입력받아서 일치하는 행을 선택하고 있다. 하지만 공격자가 만약 유저네임에 admin, 패스워드에 password' OR 1=1 -- 을 입력하면 쿼리문은 아래와 같이 된다.

SELECT * FROM users WHERE username='admin' and password='password' OR 1=1 --'

1=1은 항상 참이므로 이 방법으로 공격자는 비밀번호를 입력하지 않고 로그인할 수 있게 된다.

출처 [위키백과]

https://ko.wikipedia.org/wiki/SQL_%EC%82%BD%EC%9E%85

■ 점검내용

웹페이지 내 SQL 인젝션 취약점 존재 여부 점검

■ 점검목적

대화형 웹 사이트에 비정상적인 사용자 입력 값 허용을 차단하여 악의적인 데이터베이스 접근 및 조작을 방지하기 위함

■ 보안위협

해당 취약점이 존재하는 경우 비정상적인 SQL 쿼리로 DBMS 및 데이터(Data)를 열람하거나 조작 가능하므로 사용자의 입력 값에 대한 필터링을 구현하여야 함

<점검대상 및 판단기준>

■ 대상

웹 애플리케이션 소스코드, 웹 방화벽

■ 판단기준

양호 : 임의로 작성된 SQL 쿼리 입력에 대한 검증이 이루어지는 경우

취약 : 임의로 작성된 SQL 쿼리 입력에 대한 검증이 이루어지지 않는 경우

■ 조치방법

소스코드에 SQL 쿼리를 입력 값으로 받는 함수나 코드를 사용할 경우, 임의의 SQL 쿼리 입력에 대한 검증 로직을 구현하여 서버에 검증되지 않는 SQL 쿼리 요청 시 에러 페이지가 아닌 정상 페이지가 반환되도록 필터링 처리하고 웹 방화벽에 SQL 인젝션 관련 룰셋을 적용하여 SQL 인젝션 공격을 차단함

<점검 및 조치 사례>

■ 점검방법

Step 1) 사용자 입력 값에 특수문자나 임의의 SQL 쿼리를 삽입하여 DB 에러 페이지가 반환되는지 확인 // 양호