SQL Injection 공격

SQL Injection 공격

·         ≒ SQL 삽입 공격

·         ≒ Improper Neutralization of Special Elements used in an SQL Command

·         데이터베이스와 연동되어 있는 해당 어플리케이션에서 사용자로부터 전송되어 오는 입력 값을 조작하여 DBMS가 의도하지 않은 결과를 반환하도록 하는 공격기법으로, '입력 값 검증 부재' 로 인한 취약점 입니다. 이로 인해 DB의 정보가 외부에 노출될 수 있습니다.

·         웹 애플리케이션과 데이터베이스간의 연동하는 부분(사용자 로그인 부분, 게시물 검색 부분, 자료실, 우편번호 검색 등)에 공격자가 작성한 임의의 SQL 명령어를 삽입할 수 있다는 취약점에서 시작된 공격 기법입니다.

·         URL의 파라미터 값 등으로 전송되는 문자열에 대해 웹 서버에서 유효성을 검증하지 않아, SQL 구문이 직접 DB 서버로 전송되어 실행되는 것을 의미합니다.