목차

1. Concepts of SQL injection attack
2. Description of SQL injection attack
3. Types of SQL injection attack
4. How to avoid SQL injection attack

본문내용

-SQL Injection Attack is an attack that accesses an internal database from outside by exploiting the vulnerability of SQL grammar processing method.
-This method is commonly used by hackers.
SQL 인젝션을 이해하려면 우선 SQL(Structured Query Language)이 무엇인지 알고 넘어가야 한다. SQL은 데이터베이스(DB)를 만들고 유지하는 데 사용하는 프로그래밍 언어 중 하나다. DB를 구축하고 조작하기 위해 사용하는 일종의 명령어인 셈이다. SQL을 이용하면 데이터를 정의, 조작, 제어할 수 있다.

SQL 인젝션은 웹사이트 취약점을 찾아, DB를 관리하는 SQL 명령어에 악성코드를 삽입해 해커가 원하는 식으로 조작하는 웹 해킹 공격 중 하나다. 개발자가 의도하지 않은 SQL 명령을 실행해 DB를 비정상적으로 조작한다. 이런 식으로 개발자 모르게 DB에 저장한 정보를 유출할 수 있다.

SQL 인젝션 오류가 발생할 때
신뢰되지 않는 출처로부터 입력된 데이터
데이터가 동적으로 구성된 SQL 질의로 사용되어질 때

주요문제
1) 기밀선: SQL 데이터베이스는 보편적으로 민감한 데이터를 갖고 있다. 기밀성의 손실은 SQL 인젝션에 취약점의 빈번한 문제이다.
2) 인증: 쉬운 SQL명령어라도 사용자의 이름과 비밀번호를 확인한데 사용되기 때문에, 그것은 이전에 비밀번호를 모르던 다른 사람의 시스템 계정에 접근하는 것을 가능하게 된다.
3) 권한 부여: 권한 부여의 정보는 SQL 데이터베이스에 들어있기 때문에, 그것은 성공적으로 SQL 인젝션 취약점을 찾음으로서 해당 정보의 변경이 가능하다.
4) 무결성: 이것은 민감 데이터를 읽을 수 있는 것을 말하며, 또한 SQL 인젝션 공격에 의해 정보의 수정과 삭제조차 가능한 것을 말한다.

참고 자료

없음