차례:
정의-SQL 주입 공격이란 무엇입니까?
SQL 주입 공격은 웹 사이트 인터페이스를 통해 데이터베이스에 SQL 명령을 실행하려는 시도입니다. 이것은 사용자 이름과 비밀번호를 포함한 저장된 데이터베이스 정보를 얻는 것입니다.
이 코드 삽입 기술은 응용 프로그램 데이터베이스 계층의 보안 취약성을 악용합니다. 해커는 잘못 코딩 된 웹 사이트 및 웹 앱을 활용하여 데이터베이스에 저장된 데이터에 액세스하기 위해 로그인 양식을 활용하는 등 SQL 명령을 삽입합니다.
간단히 말해, SQL 주입 공격은 사용자 입력 필드가 SQL 문이 데이터베이스를 통과하고 데이터베이스를 직접 쿼리 할 수있게하기 때문에 발생합니다.
Techopedia는 SQL 인젝션 공격을 설명합니다
최신 웹 사이트에는 로그인 페이지, 검색 페이지, 지원 및 제품 요청 양식, 쇼핑 카트, 피드백 양식 등이 있습니다.
이러한 웹 사이트 기능은 사용자 입력 필드의 가용성으로 인해 SQL 주입 공격에 모두 취약합니다. 이러한 웹 사이트가 SQL 삽입에 취약한 경우 공격자는 임의의 SQL 문을 쉽게 실행할 수 있습니다. 이로 인해 데이터베이스의 무결성이 손상되고 민감한 데이터가 노출 될 수 있습니다.
사용 된 백엔드 데이터베이스를 기반으로 SQL 인젝션 취약점으로 인해 다양한 레벨의 인젝션 공격이 발생할 수 있습니다. 공격자는 기존 쿼리를 조작하거나 하위 선택을 사용하거나 추가 쿼리를 추가 할 수 있습니다. 경우에 따라 파일을 읽거나 쓸 수도 있습니다. 또한 공격자는 루트 운영 체제 (OS)에서 셸 명령을 실행할 수 있습니다.
Microsoft SQL Server와 같은 일부 SQL Server에는 저장 및 확장 프로 시저가 통합되어 있습니다. SQL 주입 공격자가 이러한 절차에 액세스 할 경우 바람직하지 않은 결과를 초래할 수 있습니다. 잘못 코딩 된 웹 사이트 및 웹 응용 프로그램은 항상 이러한 종류의 공격을 받기 쉽습니다.
주입 공격을 피하는 가장 좋은 방법은 웹 사이트 및 웹 앱의 취약점을 발견 한 후 실행하는 것입니다. 침투 테스터가 잠재적 SQL 주입 공격에 대해 웹 사이트 및 웹 앱의 취약성을 확인하는 데 도움이되는 자동화 된 SQL 주입 스캐너가 있습니다.
이를 통해 웹 관리자는 취약한 코드를 즉시 수정하고 잠재적 인 SQL 주입 공격으로부터 웹 사이트를 보호 할 수 있습니다.
