1. SQL Injection이란
임의의 SQL 질의문을 삽입해 실행하는 공격
2. 이용할 수 있는 시나리오
인증 우회, 데이터 추출, 변조
+ DB에 SQL 질의문을 이용하여 web shell을 업로드하여 공격을 할 수 있다.
3. 공격 유형
Union SQL Injection
컬럼 개수
Error Based SQL Injection
논리 에러
Blind SQL Injection
참과 거짓 조건
4. 대응 방안
Prepared Statement
order by, Table 이름, Column 이름에는 Prepared Statement를 적용시킬 수 없다.
따라서 이부분에서는 White List 기반 필터링을 적용시켜준다.
Black list 기반 필터링은 우회의 여지가 있으므로 White List 기반 필터링을 이용한다.
'공부 > 해킹 과제' 카테고리의 다른 글
| XSS 2 (0) | 2023.05.13 |
|---|---|
| XSS 1 (0) | 2023.05.05 |
| SQL Injection 대응 방안 (0) | 2023.04.29 |
| Blind SQL Injection (0) | 2023.04.28 |
| Error Based SQL Injection (0) | 2023.04.21 |
