SQL Injection 정리 - 1

SQL Injection 공격이란?

말 그대로 sql 쿼리문을 주입하는 공격기법이다. (코드 인젝션 중 하나이다.)

사용자의 입력값을 조작하여 데이터베이스를 공격할 수 있다.

 

동작원리

1. 사용자가 입력한 값을 서버에 전달한다.

2. 서버가 DB에 sql 쿼리문을 보낸다

3. DB에서 조회한 값을 전달한다.

4. 결과를 사용자에게 전달한다.

 

SQL Injection 종류

sql injection을 활용한 공격기법은 여러가지가 있는데

크게 2가지로 나누어 볼 수 있다.

 

1. 인증 우회

2. 데이터 추출

 

인증 우회 기법은 계정에 올바른 정보를 입력하지 아니하고

sql 쿼리문을 조작하여 공격하고자 하는 대상의 인증을 획득하는 방법이다.

 

데이터 추출 기법은 시스템에서 발생하는 에러 메세지 또는 보이지 않더라도

악의적으로 sql 구문을 입력하여 원하는 데이터를 얻어내는 방법이다.

 

각종류별로 자세한 내용은 따로 정리할 예정이다.