sql_injection.md

SQL Injection

• 해커에 의해 조작된 SQL 쿼리문이 데이터베이스에 그대로 전달되어 비정상적 명령을 실행시키는 공격 기법을 말한다

공격 방법

1. 인증 우회

보통 로그인을 할 때, 아이디와 비밀번호를 input창에 입력한다 예를 들어, 아이디가 abc, 비밀번호가 1234일 때, 쿼리는 아래와 같은 방식으로 전송될 것이다

SELECT * FROM USER WHERE ID = "abc" AND PASSWORD = "1234";

SQL Injection으로 공격할 때, input 창에 비밀번호를 입력함과 동시에 다른 쿼리문을 함께 입력하는 것이다

1234; DELETE * FROM USER WHERE ID = "1";

보안이 완벽하지 않은 경우, 이처럼 비밀번호가 아이디와 일치해서 True가 되고 뒤에 작성한 DELETE문도 데이터베이스에 영향을 줄 수도 있게 되는 치명적인 상황이다

이 밖에도 기본 쿼리문의 WHERE 절에 OR 문을 추가하여 '1' = '1'과 같은 true문을 작성하여 무조건 적용되도록 수정한 뒤 DB를 마음대로 조작할 수도 있다

2. 데이터 노출

시스템에서 발생하는 에러 메시지를 이용해 공격하는 방법이다

보통 에러는 개발자가 버그를 수정하는 면에서 도움을 받을 수 있는 존재이다. 해커들은 이를 역이용해 악의적인 구문을 삽입하여 에러를 유발시킨다

예를 들면, 해커는 GET 방식으로 동작하는 URL 쿼리 스트링을 추가하여 에러를 발생시킨다

URL 쿼리 스트링 : 사용자가 입력 데이터를 전달하는 방법중의 하나로, url 주소에 미리 협의된 데이터를 파라미터를 통해 넘기는 것 : http://test.com/login.php?id=abc1234 and password=''

이에 해당하는 오류가 발생하면 이를 통해 해당 웹앱의 데이터베이스 구조를 유추할 수 있고 해킹에 활용한다

방어 방법

1. input 값을 받을 때, 특수 문자 여부 검사하기

로그인 전에 검증 로직을 추가하여 미리 설정한 특수문자들이 들어왔을때 요청을 막아낸다

2. SQL 서버 오류 발생 시, 해당하는 에러 메시지 감추기

데이터베이스 에러 발생 시 따로 처리를 해주지 않았다면, 에러가 발생한 쿼리문과 함께 에러에 관한 내용을 반환해 준다. 여기서 테이블명, 컬럼명, 쿼리문이 노출될 수 있기 때문에, 오류발생 시 사용자에게 보여줄 수 있는 페이지를 따로 제작하거나 메시지박스를 띄우도록 해야한다. 또 다른 방법은 view를 활용해 원본 데이터베이스 테이블에는 접근 권한을 높인다. 일반 사용자는 view로만 접근하여 에러를 볼 수 없도록 만든다

3. prepare statement 사용하기

prepare statement를 사용하면 특수문자를 자동으로 escaping 해준다

(statement와는 다르게 쿼리문에서 전달인자 값을 ? 로 받는것) 이를 활용해 서버측에서 필터링 과정을 통해서 공격을 방어한다. ? 에 들어가는 데이터는 단순히 문자열로 취급하기 때문에 SQL 인젝션이 발생할 수 없다

[나의 정리]

조작된 SQL문이 데이터베이스로 전달되어 잘못된 처리가 발생할 수 있다. 입력창에 다른 SQL문을 넣거나, 혹은 GET방식으로 동작하는 URL 쿼리 스트링을 추가하여 에러를 발생시키고, 데이터베이스 구조를 유추한다. 이를 막기 위해서는 조작된 SQL문을 넣기 위한 '(홑따음표) ;(세미콜론) --(주석) 공백 등을 걸러내거나, prepareStatement를 사용하여 데이터베이스로 전달되는 값이 문자열로만 전달되게 하여 SQL 인젝션을 막을 수 있다. 또한 서버 에러가 발생했을 때 사용자에게 보여주는 페이지를 별도로 제작하여 데이터베이스 구조를 유추할 수 없도록 막아야 한다.