목록String SQL Injection (1)
겉바속촉
[보안] WebGoat_String SQL Injection, Numeric SQL Injection
SQL Injection 개념 외부 입력값을 검증하지 않고 SQL문을 생성 및 실행에 사용하는 경우에 발생 쿼리의 원래 의미와 형태가 변형되어 실행 예상 피해 권한 밖 데이터에 대한 접근이 가능, 인증 우회, DB서버 또는 서버군의 제어권을 탈취하는 등의 피해가 발생 방어 기법 입력값 검증 --> SQL문을 조작할 수 있는 문자열 포함 여부를 확인 정적 쿼리를 사용 --> 항상 일정한 형태의 쿼리가 실행되는 것을 보장 DB 사용자에게 최소 권한을 부여 --> 애플리케이션에서 사용하는 DB 사용자의 권한을 필요한 만큼만 부여 에러에 대한 안전한 처리 --> 오류 메시지를 통해서 시스템 내부 정보가 노출되지 않도록 오류 메시지를 처리 입력되는 값의 형태(유형)에 따라 다양한 SQL Injection 유형 s..
IT 일기 (상반기)/네트워크 및 시스템 보안
2021. 1. 21. 15:11