SQL Injection에 대해 알아보잣!

 

SQL Injection 를 한 문장으로 정의하자면..?

SQL Injection은 악의적인 사용자가 웹 애플리케이션의 입력 필드를 통해 SQL 쿼리를 조작하는 공격 기술입니다.

 

SQL Injection의 공격 목적은 무엇일까요..?

• 정보 유출(Information leakage)
• 저장된 데이터 유출 및 조작(Disclosure & Manipulation of stored Data)
• 원격 코드 실행(Remote Code Excution)
• 인증 우회(Bypassing authorisation controls)

SQL Injection 피해 사례와 원인 무엇이 있을까요..?

사례는 무엇이 있을까요!

2017년 3월 발생한 "여기어때" 고객 정보 및 고객 투숙 정보 노출 사고,
2015년 "뽐뿌" 개인정보 노출 사고가 SQL Injection 공격이 원인

원인은 무엇이었을까요!
공격의 핵심은 클라이언트 측에서 SQL 쿼리에 신뢰할 수 없는 데이터가 입력되었을 때, 데이터가 쿼리 로직의 일부로 해석되어 DB에서 실행될 때 발생한다.

 

그럼 SQL Injection 공격 방식의 종류는 무엇이 있을까요..?

1. Classic SQL Injection (Union-based SQLi, Error-based SQLi)
2. Blind SQL Injection (Boolean-based SQLi, Time-based SQLi)
3. Out of band SQL Injection

 

 

 

 

 

 

 

 

오늘은 정말 간단하게 SQL Injection 정의, 공격 목적, 피해 사례, 원인 그리고 공격 방식의 종류에 대해 알아보았습니다!

학교 수업시간에 배운 내용을 바탕으로 블로그를 적었어요! 🤗