소개글

웹 서비스에서 다양한 SQL Injection 공격방법과 시큐어 코딩에 대한 방법론을 제시합니다.

목차

1. SQL INJECTION 개요
1) 개요
2) 실습환경 구성

2. 기본 로그인 로직
1) 개요
2) 공격실습

3. PREPAREDSTATEMENT 객체가 적용된 로그인 로직
1) 개요
2) 소스코드 분석
3) 소스코드 비교
4) 결론

4. 식별과 인증이 분리된 로직
1) 개요
2) 소스코드 분석
3) 실습

5. 잘못된 암호화 적용 로직
1) 개요
2) 실습

본문내용

1 SQL INJECTION 개요
1.1 개요
보안은 어떤 분야나 마찬가지로 비정상적인 사용자 입력 값이 문제가 되어 취약점이 발생하게 된다. SQL Injection 또한 입력 값 검증 미흡을 이용한 공격방법이며, 이에 대한 소스코드를 분석하려고 한다. SQL injection은 웹 어플리케이션에서 사용자의 입력 값에 인증 우회 및 데이터를 조작하려는 query를 포함한다. 일반적으로 사용자의 입력을 받는 프론트 엔드는 사용자의 데이터를 담아 백 엔드에 전달하며, 백 엔드 데이터베이스는 query의 요청대로 데이터를 처리한다. 이 때 사용자 입력에 대한 검증을 못할 경우에 공격자의 의도대로 데이터베이스를 조작 가능하게 된다. 발생되는 피해로는 민감한 정보 유출, 데이터베이스 스키마 조회, 조작, 삭제 등이 있다.

<중 략>

3 PREPAREDSTATEMENT 객체가 적용된 로그인 로직
3.1 개요
PreparedStatement 클래스는 일반적인 소스코드에 시큐어 코딩이 적용될 뿐만 아니라, 어플리케이션 구현을 더 수월하게 하는 방법이다. 데이터베이스 세션 내에 해석된 문장을 미리 준비하기 위해 사용자로부터 전달된 정보를 변수에 바인딩(parsing) 하여 사용하기 때문이다.

참고 자료

없음