SQLインジェクション
이제 SQL 인젝션을 살펴볼 차례입니다.오랫동안 OWASP Top 10의 확실한 제왕으로 자리매김했습니다. 몇 년 연속으로 말씀드리죠.이 취약점은 너무 오래되었고 (20년이 넘었음), 목록 상위권에는 약간 못 미쳤지만, 여전히 매우 인기 있고 위험한 취약점입니다.
웹 보안 취약점인 SQL 인젝션 (SQLi) 은 여전히 공격자가 데이터베이스를 조작하고 중요한 정보를 추출할 수 있는 가장 일반적인 '해킹' 기법 중 하나입니다.더 놀라운 사실은 공격자가 데이터베이스 서버의 관리자가 되어 데이터베이스를 파괴하고, 트랜잭션을 조작하고, 데이터를 공개하고, 데이터베이스를 더 많은 문제에 취약하게 만드는 등 정말 파괴적인 일을 할 수 있다는 것입니다.
어떻게 되는지 간단히 살펴보도록 하겠습니다.
SQL (또는 구조화된 쿼리 언어) 은 관계형 데이터베이스와 통신하는 데 사용되는 언어입니다. 이는 개발자, 데이터베이스 관리자 및 애플리케이션이 매일 생성되는 엄청난 양의 데이터를 관리하는 데 사용하는 쿼리 언어입니다.
응용 프로그램에는 두 개의 컨텍스트가 있습니다. 하나는 데이터용이고 다른 하나는 코드용입니다.코드 컨텍스트는 컴퓨터에 실행할 대상을 알려주고 이를 처리할 데이터와 구분합니다.SQL 인터프리터가 실수로 코드로 처리한 데이터를 공격자가 입력하여 공격자가 응용 프로그램에서 중요한 정보를 수집할 때 SQL 주입이 발생합니다.
SQL 인젝션 공격의 영향
SQL 인젝션은 모든 웹 애플리케이션에 매우 해로울 수 있으며 공격자가 중요 데이터에 대한 무단 액세스를 허용하기 때문에 많은 세간의 이목을 끄는 보안 침해 사례의 배후에 선호되는 기법이었습니다.공격자는 사용자 이름, 암호, 신용 카드 세부 정보 및 개인 식별 번호에 이르기까지 매우 많은 정보를 볼 수 있습니다.
공격자는 이러한 데이터에 액세스한 후 계정을 탈취하거나, 비밀번호를 재설정하거나, 온라인 쇼핑을 계속하거나, 기타 (훨씬 심각한) 유형의 사기 행위를 저지를 수 있습니다.
하지만 SQLi에서 가장 놀라운 점은 공격자가 탐지되지 않을 경우 시스템의 백도어를 장기간 유지할 수 있다는 점일 것입니다.상상할 수 있듯이, 이렇게 되면 백도어가 열려 있는 동안에는 데이터 유출이 반복될 수 있습니다.무서운 일이죠.
이것이 실제로 어떻게 보이는지 더 잘 이해하기 위해 몇 가지 예를 살펴보겠습니다.
SQLi 예제
SQLi에는 다양한 상황을 해결할 수 있는 다양한 취약성 기술이 포함되어 있습니다.다음은 가장 일반적인 SQLi 예제 중 일부에 불과합니다.
SQLi 유형
자, 이제 세 가지 SQLi 유형을 살펴보겠습니다.
인밴드 SQLi
이것은 가장 일반적이고 단순하며 효율적인 SQL 삽입 유형 중 하나입니다.이러한 유형의 공격에서는 동일한 통신 채널을 사용하여 공격하고 결과 또는 결과를 검색합니다.
다음은 두 가지 유형의 대역내 SQLi 공격입니다.
- 유니온 기반 SQLi - 유니온 기반 공격은 유니온 연산자를 사용하여 SELECT 문과 같은 둘 이상의 SQL 쿼리를 결합하여 원하는 정보를 얻고 HTTP GET 응답을 생성합니다.
- 오류 기반 SQLi - 공격자는 데이터베이스의 오류 메시지를 활용하여 데이터베이스의 구조를 파악합니다.이 공격에서 공격자는 데이터베이스 정보를 수신할 수 있도록 잘못된 요청을 보내거나 서버에 오류 메시지를 표시하도록 하는 작업을 수행할 수 있습니다.따라서 개발자는 실제 환경에서 오류나 로그 메시지를 전송하지 않는 것이 중요합니다. 대신 제한된 액세스를 통해 오류나 로그 메시지를 저장해야 합니다.
추론형 SQLi
추론적 또는 블라인드 SQLi 공격은 더 복잡하며 악용하는 데 더 많은 시간이 걸릴 수 있습니다.게다가 공격자는 실제로 공격 결과를 바로 얻지 못하기 때문에 블라인드 공격이 됩니다.
공격자는 HTTP 요청을 통해 페이로드를 데이터베이스 서버에 전송하여 사용자의 데이터베이스를 재구성한 다음 애플리케이션의 응답과 동작을 관찰하여 공격의 성공 여부를 확인합니다.
추론적 SQLi 공격에는 다음과 같은 두 가지 유형이 있습니다.
- 부울 기반 블라인드 SQLi - 이 공격에서 부울 (true 또는 false) 결과를 가져오는 쿼리가 데이터베이스에 전송되고 공격자는 HTTP 응답을 관찰하여 부울 결과를 예측합니다.
- 시간 기반 블라인드 SQLi - 이 공격에서 공격자는 데이터베이스에 쿼리를 보내 몇 초간 기다리게 한 후 응답을 보내고, 공격자는 HTTP 요청의 응답 시간으로 쿼리 결과를 판단합니다.
아웃오브밴드 SQLi
이 공격은 데이터베이스 서버의 활성화된 기능에 따라 달라지는 좀 더 드문 유형의 SQLi 공격입니다.공격자가 다른 공격 유형을 실제로 사용할 수 없는 경우에 발생합니다.
예를 들어 대역내 공격에 동일한 통신 채널을 사용할 수 없거나 HTTP 응답이 명확하지 않아 쿼리 결과를 확인할 수 없는 경우가 이에 해당합니다.
게다가 공격자에게 필요한 데이터를 전송하기 위해 HTTP 또는 DNS 요청을 보내는 데이터베이스 서버의 기능에 크게 의존하기 때문에 흔하지 않습니다.
SQLi를 방어하는 방법
다행스럽게도 SQL 인젝션이 너무 오래되고 흔하다는 것은 이러한 현상을 방지할 수 있는 방법이 있다는 것입니다.이러한 종류의 예방 기술을 사용하는 것은 좋은 코딩 습관일 뿐만 아니라 SQLi에 대한 조직의 보안을 강화할 수 있습니다.
입력 검증, 웹 애플리케이션 방화벽 (WAF) 사용, 데이터베이스 보안, 타사 보안 팀 또는 시스템 사용, 완벽한 SQL 쿼리 작성 등 이러한 종류의 공격으로부터 데이터베이스 서버를 보호하는 방법에는 여러 가지가 있습니다.
위에서 언급한 보안 조치 중 하나를 사용하여 Python에서 SQL 주입을 방지하는 예를 살펴보겠습니다.
파이썬 예제
이 예제에서 공격자는 부울 기반 블라인드 SQL 인젝션을 사용하여 시스템에서 중요한 정보를 가져옵니다.
파이썬: 취약
데이터베이스에 “sample_data”라는 테이블이 있다고 가정해 보겠습니다.이 테이블에는 애플리케이션 사용자의 사용자 이름과 암호가 저장됩니다.
이제 사용자는 다음 명령을 사용하여 이 데이터베이스 테이블에서 값을 찾을 수 있습니다.
mysql.コネクタのインポート
db = mysql.connector.connect
#悪い練習です。これは学習目的のみです。避けてください!
(host="localhost", user="new_user", password="pass", db="sample")
cursor = db.curseer()
name = raw_input('名前を入力してください: ')
cur.fetchall() cur.execute("SELECT * FROM sample_data. ここで名前 = '%s';”%名前): print(行)
db.close()
SQLインジェクション
여기서 사용자가 검색에 이름 (예: Alicia) 을 입력하면 출력에 문제가 없습니다.
그러나 사용자가 Alicia'; DROP TABLE sample_data; 와 같은 내용을 입력하면 데이터베이스에 상당한 영향을 미칩니다.
파이썬: 리미디에이션
공격이 발생하지 않도록 하려면 SQL 문을 다음과 같이 변경해야 합니다.
cur.execute (“이름이 %s인 샘플_데이터에서 *를 선택하십시오.”, (이름,))
이제 시스템은 사용자가 SQL 쿼리를 삽입하려고 해도 사용자 입력을 문자열로 취급하고 사용자 입력은 이름의 값으로만 취급합니다.
이 간단한 변경으로 향후 쿼리에서 악의적인 활동을 방지하고 사용자 입력 공격으로부터 시스템을 보호할 수 있습니다.
자바 예제
이 예제에서는 애플리케이션의 사용자 데이터를 저장하는 “sample_data”라는 데이터베이스 테이블도 사용합니다.
기본 로그인 페이지에는 사용자 이름과 비밀번호가 사용되며 서블릿 (LoginServlet) 인 java 파일은 데이터베이스와 비교하여 로그인 작업을 허용하도록 이를 검증합니다.
자바: 취약한 예제
시스템은 데이터베이스의 “sample_data” 테이블을 사용하여 사용자가 자격 증명을 입력으로 사용하여 로그인 작업을 수행할 수 있도록 합니다.
LoginServlet 파일에는 다음과 같은 로그인 작업을 위한 쿼리가 있습니다.
//잘못된 예.문자열 연결을 사용하지 마십시오.
문자열 쿼리 = “sample_data에서 *를 선택하십시오. 여기서 사용자 이름='”+ 사용자 이름 + “'및 암호 ='”+ 암호 + “'”;
연결 연결 = null;
명령문 문자값 = null;
시도해 보세요 {
conn = DriverManager.getConnection (“jdbc:mysql: //127.0.0. 1:3306 /user”, “root”, “root”);
stmt = Conn.CreateStatement ();
결과 집합 rs = STMT. 쿼리 실행 (쿼리);
if (rs.next ()) {
//일치하는 항목이 발견되면 로그인 성공
성공 = 진실;
}
} 캐치 (예외 e) {
e. 인쇄 스택 추적 ();
} 드디어 {
시도해 보세요 {
stmt.close ();
연결. 닫기 ();
} 캐치 (예외 e) {}
}
if (성공) {
응답. 리디렉션 보내기 (” home.html “);
} 그밖에 {
응답. 리디렉션 보내기 (” login.html?오류=1");
}
}
다음은 사용자 로그인에 대한 쿼리입니다.
sample_data에서*를 선택합니다. 여기서 사용자 이름은 '사용자 이름'이고 암호는 '암호'입니다.
SQLインジェクション
입력이 유효하면 시스템이 완벽하게 작동합니다.예를 들어 사용자 이름은 다시 Alicia이고 비밀번호는 비밀이라고 가정해 보겠습니다.
시스템은 이러한 자격 증명을 가진 사용자의 데이터를 반환합니다.하지만 공격자는 SQL 삽입을 위한 Postman 및 cURL을 사용하여 사용자 요청을 조작할 수 있습니다.
예를 들어, 해커는 더미 사용자 이름 (Alicia) 과 암호 '또는 '1'='1'을 보낼 수 있습니다.
이 경우 사용자 이름과 암호는 일치하지 않지만 조건 '1'='1'은 항상 true이므로 로그인 작업은 성공적으로 수행됩니다.
자바: 예방
예방을 위해 LoginValidation 코드를 수정하고 쿼리 실행 시 명령문 대신 PreparedStatement를 사용해야 합니다.이렇게 변경하면 쿼리에 사용자 이름과 암호가 연결되지 않고 이를 setter 데이터로 취급하여 SQL 삽입을 방지할 수 있습니다.
다음은 로그인/검증을 위해 수정된 코드입니다.
문자열 쿼리 = “sample_data에서 *를 선택하십시오. 여기서 사용자 이름=?그리고 비밀번호 =?”;
연결 연결 = null;
준비된 명세서 STMT = null;
시도해 보세요 {
conn = DriverManager.getConnection (“jdbc:mysql: //127.0.0. 1:3306 /user”, “root”, “root”);
stmt = Conn.PareStatement (쿼리) 준비;
Stmt.setString (1, 사용자 이름);
Stmt.setString (2, 비밀번호);
결과 집합 rs = STMT. 쿼리 실행 ();
if (rs.next ()) {
성공 = 진실;
}
rs.close ();
} 캐치 (예외 e) {
e. 인쇄 스택 추적 ();
} 드디어 {
시도해 보세요 {
stmt.close ();
연결. 닫기 ();
} 캐치 (예외 e) {
}
}
이 경우 PreparedStatement, 세터 및 기본 JDBC API가 사용자 입력을 처리하고 SQL 삽입을 방지합니다.
예시
이제 다양한 언어로 된 몇 가지 예를 더 살펴보면서 이것이 실제로 어떻게 보이는지 더 잘 이해할 수 있도록 하겠습니다.
C# - 안전하지 않음
이 예제는 `FromRawSQL`의 사용으로 인해 안전하지 않습니다.이 메서드는 파라미터를 바인딩하거나 이스케이프를 시도하지 않습니다.따라서 이 방법은 어떤 대가를 치르더라도 피해야 합니다.
var 블로그 = 컨텍스트. 게시물
.fromRawSQL (“상태 = {0}, 작성자 = {1} 인 게시물에서* 선택”, 상태, 작성자)
. 목록 () 으로;
C# - 보안
이 예제는 보간된 값을 가져와 파라미터화하는 `FromSQLInterpolated`로 인해 안전합니다.
이는 일반적으로 안전하지만 안전하지 않은 `FromRawSQL`과 매우 유사할 위험이 있습니다.
var 블로그 = 컨텍스트. 게시물
.fromSQLInterpolated ($"상태 = {상태} 및 작성자 = {작성자}”인 게시물에서 * 선택)
. 목록 () 으로;
자바 - 보안: 하이버네이트 - 명명된 쿼리+네이티브 쿼리
Hibernate는 '네이티브 쿼리'와 '명명된 쿼리'를 통해 안전한 방식으로 쿼리를 구성하는 두 가지 방법을 제공합니다.둘 다 파라미터의 위치를 지정할 수 있습니다.
@NamedNativeQuery (
이름 = “주_및_작성자_작성자_게시글 찾기”,
쿼리 =
“* 선택”+
“게시물에서” +
“위치 상태 =:상태”+
“그리고 저자 =:작성자”,
결과 클래스 = Post.class)
자바
<Post>게시물 목록 = 세션. 네이티브 쿼리 생성 (
“* 선택”+
“게시물에서” +
“위치 상태 =:상태”+
“그리고 저자 =:작성자”)
. 아이덴티티 (Post.class)
.set매개 변수 (“상태”, 상태)
.set매개 변수 (“작성자”, 작성자)
. 목록 ();
자바 - 보안: jplq
jplq 저장소 인터페이스에서 'Query' 속성에 주석을 달면 여러 형식을 취할 수 있으며 매개 변수화됩니다.
@Query (“게시물 p에서 p를 선택하세요. u.state =?1과 u.author =?2")
게시물 상태 및 작성자별 게시물 찾기 (문자열 상태, int 작성자);
@Query (“게시물 p에서 p를 선택하세요. 여기서 u.state =:state 및 u.author =:author”)
사용자 FindPostbyStateand Author (@Param (“상태”) 문자열 상태, @Param (“작성자”) int 작성자);
자바스크립트 - 보안: pg
`pg` 라이브러리를 사용할 때, `query` 메서드는 두 번째 매개 변수를 통해 매개 변수 값을 제공하여 매개 변수화를 허용합니다.
const {posts} = await db.query ('상태 = $1, 작성자 = $2인 게시물에서 *를 선택하십시오', [주, 작성자])
자바스크립트 - 보안: 시퀄라이즈
`sequelize` 라이브러리는 쿼리 설정을 취하는 두 번째 인수를 통해 쿼리를 파라미터화하는 방법을 제공합니다.여기에는 쿼리에 파라미터로 바인딩할 값 목록 (이름 또는 인덱스별) 이 포함됩니다.