SQL Injection 공격
CODEDRAGON ㆍSecurity/SecureCoding
반응형
SQL Injection 공격
· ≒ SQL 삽입 공격
· ≒ Improper Neutralization of Special Elements used in an SQL Command
· 데이터베이스와 연동되어 있는 해당 어플리케이션에서 사용자로부터 전송되어 오는 입력 값을 조작하여 DBMS가 의도하지 않은 결과를 반환하도록 하는 공격기법으로, '입력 값 검증 부재' 로 인한 취약점 입니다. 이로 인해 DB의 정보가 외부에 노출될 수 있습니다.
· 웹 애플리케이션과 데이터베이스간의 연동하는 부분(사용자 로그인 부분, 게시물 검색 부분, 자료실, 우편번호 검색 등)에 공격자가 작성한 임의의 SQL 명령어를 삽입할 수 있다는 취약점에서 시작된 공격 기법입니다.
· URL의 파라미터 값 등으로 전송되는 문자열에 대해 웹 서버에서 유효성을 검증하지 않아, SQL 구문이 직접 DB 서버로 전송되어 실행되는 것을 의미합니다.
'Security > SecureCoding' 카테고리의 다른 글
스프린트 계획 미팅 (0) | 2020.03.06 |
---|---|
V-model(V 모델) (0) | 2020.03.01 |
현장고객(On-site customer) 프랙티스 (0) | 2020.02.20 |
테스트 마감 활동 (0) | 2020.02.13 |
통합 테스트(Integration Test) (0) | 2020.02.08 |