No.6 SQL인젝션 알아보기

이번엔  

Sql인젝션 공격에 대해 알아봅시다.

 

SQL인젝션 공격 이란??

 

=> SQL 인젝션 공격은 웹 어플리케이션 자체의 버그를 이용하는 웹 해킹 방법으로 SQL 서버에서 실행되는 코드에 악의적인 코드를 추가하거나 삽입하여 권한이 없는 사람이 정보를 획득 하거나 조작 하는 방법입니다.

 

SQL의 종류로는 MS-SQL과 MYSQL등이 있습니다만

서로에 쓰이는 명령어는 거의 흡사하므로

이번에 배우면 두가지 SQL서버에서도 충분히 가능하리라 봅니다.

 

 

SQL의 저장경로?

 

=> 웹 서버 관리자들이 어떤 서버를 만들고 그 데이터베이스처리를 쉽게하기 위해 만들어진것이

SQL쿼리분석기라고 합니다.

 

쿼리분석기의 모습을 살펴봅시다.

 

위의 모습이 쿼리입니다.

자신이 회원가입 양식을 어떻게 짰냐에 따라 들어가는 열이 달라지는데

저같은경우 아이디는 bId열에 패스워드는 bPass열에 들어가있는것을 확인할수있습니다.

 

자 설명해보겠습니다

웹 page에 접속시에 로그인 페이지가 있다고 가정해봅시다

이때 로그인 page에서 아이디와 비밀번호를 입력하면

그것은 어디서 검사맡게 될까요? 바로 위 sql에서 검사를 맡게되고 둘다 맞게되면 그때 로그인이 가능하게 되는 것입니다.

 

그럼?? 이 조건을 다르게 건드려서 아이디와 비밀번호가 맞지않게 로그인을 할수있지 않을까??

 

라는 생각에서 나오는것이 바로!!

SQL인젝션공격입니다.

 

[출처] No.6 SQL인젝션 알아보기|작성자 Securely