Blog
스터디
CS Study with SON
15주차
SQL 인젝션

출처 - https://github.com/jmxx219/CS-Study (opens in a new tab)

SQL Injection

SQL 인젝션은 악의적인 사용자가 보안상의 취약점을 이용하여,
조작된 쿼리문을 DB에 그대로 전달하여 비정상적 명령을 실행시키는 공격 기법


공격 목적

  1. 정보 유출
  2. 저장된 데이터 유출 및 조작
  3. 원격 코드 실행
    • 일부 데이터베이스의 경우 확장 프로시저를 이용하여 원격으로 시스템 명령의 실행 가능
    • 시스템 명령의 실행은 원격 자원 접근 및 데이터 유출, 삭제 가능
  4. 인증 우회
    • 공격의 대표적인 경우는 로그인 폼에서 발생
    • 이때 상위 권한을 가진 사용자의 권한으로 인증 절차를 우회하여 로그인

발생 조건

  1. 사용자 입력값의 신뢰성 부족
    • 사용자로부터 입력 받은 값(폼 데이터, URL 파라미터)을 적절히 검증 또는 이스케이프하지 않은 경우 발생
  2. 동적 SQL 쿼리 생성
    • 동적으로 SQL 쿼리를 생성하고 사용하는 경우, 사용자 입력 값이 직접 쿼리에 삽입되면서 발생
  3. 실행 권한 문제
    • 사용자가 실행할 수 없는 쿼리를 실행하려고 하는 경우, 이를 불허하지 않고 실행하게 되면 발생

공격 종류 및 방법

구분예시
Classic SQLiError-based SQLi, Union-based SQLi
Blind SQLiBoolean-based SQLi, Time-based SQLi

Error based SQL Injection

논리적 에러를 이용한 SQL 인젝션은 대중적인 공격 기법


예시) 로그인 상황


SELECT * FROM users WHERE username = '입력된_사용자명' AND password = '입력된_비밀번호';

만약 사용자가 아래와 같이 입력한다면

'' OR '1'='1'; --

SQL은 최종적으로 다음과 같이 변한다.

SELECT * FROM users WHERE username = '' OR '1'='1'; --' AND password = '입력된_비밀번호';
  • '1'='1' 구문 이용

    • WHERE 절을 모두 참으로 만듦
    • --를 넣어줌으로써 뒤의 구문을 모두 주석처리
  • 위 쿼리문 실행 시

    • Users 테이블에 있는 모든 정보를 조회
    • 가장 먼저 만들어진 계정으로 로그인에 성공
      • 보통은 관리자 계정을 제일 처음 만듦
        • 관리자 계정 탈취로, 관리자 권한을 통해 또 다른 2차 피해 발생 가능


Union based SQL Injection

UNION : 두 개의 쿼리문에 대한 결과를 통합하여 하나의 테이블로 보여주는 키워드

Union 인젝션 성공을 위한 조건

  1. Union 하는 두 테이블의 컬럼 수가 같아야 함
  2. Union 하는 두 테이블의 데이터 형이 같아야 함


예시) 사용자의 아이디와 패스워드 확인


SELECT username, password FROM users WHERE id = '$id';

이때 '$id'에 아래와 같은 값을 입력한다면,

$id: 1 UNION SELECT null, table_name FROM information_schema.tables --

최종 쿼리는 아래와 같다.

SELECT username, password FROM users WHERE id = '1' UNION SELECT null, table_name FROM information_schema.tables --';

UNION SELECT null, table_name FROM information_schema.tables 부분은 사용자 테이블 대신 information_schema에서 테이블 이름을 가져오는 부분이다.

이 경우 공격자는 추가로 가져온 테이블의 정보를 이용하여 데이터베이스를 조작할 수 있다.



Boolean based SQL Injection

SQL 쿼리의 참/거짓 기반으로 공격자가 DB 정보를 추출하는 기법


예시) 아이디가 '1'인 사용자의 비밀번호 길이 확인


SELECT username, password FROM users WHERE id = '$id';

공격자가 아이디가 '1'인 사용자의 비밀번호 길이를 확인하는 쿼리를 실행하려고 한다.

$id: 1' AND LENGTH(password) > 10 --

이 입력을 SQL 쿼리에 삽입하면 아래와 같이 된다.

SELECT username, password FROM users WHERE id = '1' AND LENGTH(password) > 10 --';

해당 값의 결과가 웹 페이지에 반영되면 공격자는 비밀번호의 길이를 추출할 수 있다. 이런 과정을 반복하여 결과들을 조합한다면 원하는 정보를 얻을 수 있다.



Time based SQL Injection

DB 서버의 응답 시간을 기반으로 공격자가 데이터베이스 정보를 추출하는 기법


동작 방식

  • DB 쿼리에 시간을 지연시키는 함수를 삽입하여, 결과를 확인하는 방식으로 작동
  • 공격자는 쿼리의 참/거짓 여부에 따라 서버 응답 시간의 변화 관찰
    • 이를 통해 DB 정보를 유추하거나 추출

예시) 아이디와 비밀번호 조회 코드


SELECT username, password FROM users WHERE id = '$id';

공격자가 아이디가 '1'인 사용자 비빌번호의 첫 번째 글짜가 'a'인지 확인하고자 한다.

$id: 1' AND SUBSTRING(password, 1, 1) = 'a' AND SLEEP(5) --

이 입력을 SQL 쿼리에 삽입하면 결과적으로 아래와 같이 변한다.

SELECT username, password FROM users WHERE id = '1' AND SUBSTRING(password, 1, 1) = 'a' AND SLEEP(5) --';

여기서 SUBSTRING(password, 1, 1) = 'a' 조건이 만족될 때까지 서버는 5초 동안 응답을 보류하게 되고, 공격자는 이를 이용하여 패스워드의 첫 글자를 추측할 수 있다.



대응 방안

  1. 화이트리스트 기반 검증

    • 허용되는 값의 목록을 작성하고, 입력 값이 이 목록에 속하는지 확인하는 방식.
    • 허용되지 않은 문자나 특수 문자를 입력으로 거부함으로써 공격을 방지할 수 있음.
  2. Prepared Statement 사용

    • 입력 값을 문자열로 취급하고 데이터베이스의 파라미터로 처리하는 방법.
    • 이는 SQL 쿼리를 미리 컴파일하여 실행하는 방식으로, 공격자가 의도한 쿼리를 실행할 수 없게 한다.
  3. 에러 메시지 최소화

    • 에러 메시지에는 민감한 정보가 포함될 수 있다.
      • ex) 데이터베이스 버전정보
    • 따라서 실제 사용자에게는 유용한 정보만을 포함하도록 에러 메시지를 최소화해야 함.
    • 이로서 공격자가 데이터베이스 구조를 파악하기 어렵게 만듭니다.
  4. 웹 방화벽 사용

    • 웹 방화벽은 웹 애플리케이션의 트래픽을 감시하고, 악의적인 행위로부터 보호하는 역할.
    • SQL Injection과 같은 웹 공격을 탐지하고 차단할 수 있다.
  5. 입력 값의 정규화

    • 입력 값이 예상과 다른 형식이면 거부하도록 정규화를 수행.
    • 예를 들어, 숫자를 기대하는 필드에 문자열이 입력되는 경우를 방지할 수 있다.
  6. 최소 권한 원칙

    • 데이터베이스 계정에는 최소한의 권한만 부여하는 것이 중요.
    • 애플리케이션이 필요로 하는 최소한의 권한만 부여함으로써 특정 공격에 대한 영향을 최소화.
  7. 보안 업데이트

    • 데이터베이스 시스템, 웹 서버, 프레임워크 등을 최신으로 유지하고 보안 업데이트를 적용하는 것이 중요.
    • 새로운 취약점에 대한 패치가 제공되면 빠르게 업데이트해야 한다.

이러한 방법들을 종합적으로 사용함으로써 SQL 인젝션에 안전한 웹 애플리케이션을 구축할 수 있다.



블랙리스트 vs 화이트리스트

시스템에 접근해도 되는 사용자와 접근하면 안 되는 사용자를 구분하기 위해 사용되는 목록
이때 대상은 사람뿐 만이 아닌 특정 IP를 가진 PC, 실행 파일, 프로세스, 웹 사이트 등이 되기도 함

화이트리스트

  • 개념
    • 엑세스 허용 목록
    • 기본적으로 모든 접근을 막아놓고 접근 허용 대상만 따로 등록하는 방식
    • 조직 내에서 신뢰할 수 있는 실행 파일, 응용 프로그램, 웹 사이트만 실행 가능하도록 허용
  • 장점
    • 좀 더 엄격한 보안체계 구축 가능
  • 단점
    • 보안 담당자에게 더 많은 업무 주어짐
      • 특정 업무 시스템의 접근 권한을 통제하면, 자신도 등록해달라는 요청 발생

블랙리스트

  • 개념
    • 엑세스 거부 목록
    • 기본적으로 접근을 모두 허용하돼 접근하지 못하는 예외를 두는 방식
  • 특징
    • 컴퓨터 보안에서 가장 오래된 알고리즘 중 하나
    • 방화벽이나 백신 소프트웨어 등에 자주 사용
  • 장점
    • 쉽고 빠른 보안 조치 가능
    • 담당자의 노동이 적게 들어감
  • 단점
    • 거부하지 않은 출처로부터 엑세스가 있는 경우 막기 어려움

ref

SQL Injection 이란? (SQL 삽입 공격) (opens in a new tab)
SQL Injection and How to Prevent It? (opens in a new tab)
[웹해킹] SQL Injection 총정리 (opens in a new tab)