SQL Injection

Description

클라이언트에서 애플리케이션으로의 입력 데이터를 통해 SQL 쿼리를 삽입하거나 “인젝션”하는 것으로 구성된 SQL 인젝션 공격을 확인하세요. 성공적인 SQL 인젝션 공격은 데이터베이스에서 민감한 데이터를 읽을 수 있으며, 데이터베이스 데이터를 수정(삽입/업데이트/삭제)하거나 데이터베이스에서 관리 작업(예: DBMS 종료)을 실행하고, DBMS 파일 시스템에있는 특정 파일의 내용을 복구하거나 경우에 따라 운영 체제에 명령을 내릴 수 있습니다. SQL 인젝션 공격은 데이터 플레인 입력에 SQL 명령이 주입되어 미리 정의된 SQL 명령의 실행에 영향을주는 주입 공격 유형입니다. 이 확인은 요청의 매개변수(경로, 쿼리 문자열, 헤더, JSON, XML 등)을 수정하여 SQL 또는 NoSQL 쿼리에 구문 오류를 발생시키려고 시도합니다. 그런 다음 로그와 응답을 분석하여 오류가 발생했는지 감지하려고합니다. 오류가 감지되면 취약점이 존재할 가능성이 매우 높습니다.

Remediation

소프트웨어는 상류 컴포넌트의 외부에서 영향을받는 입력을 사용하여 SQL 명령의 모든 부분 또는 일부를 구성하지만 목표로하는 SQL 명령이 하류 컴포넌트로 전송 될 때 수정될 수있는 특수 요소를 중화하거나 잘못 중화하지 않습니다.

사용자 제어 가능한 입력의 SQL 구문을 충분히 제거하거나 따옴표로 묶지 않으면 생성된 SQL 쿼리는 해당 입력이 일반 사용자 데이터가 아닌 SQL로 해석되도록 할 수 있습니다. 이것은 쿼리 로직을 변경하여 보안 검사를 우회하거나 백엔드 데이터베이스를 수정하는 추가 명령을 삽입하는 데 사용할 수 있습니다. SQL 인젝션은 데이터베이스 기반 웹 사이트에서 흔한 문제가 되었습니다. 이 결함은 쉽게 감지되고 쉽게 악용되므로 심지어 최소한의 사용자 기반을 갖는 사이트 또는 소프트웨어 패키지도이 유형의 시도 된 공격을 받을 가능성이 높습니다. 이 결함은 SQL이 제어 및 데이터 플레인 간에 실제 구분을하지 않는 사실에 의존합니다.