sql injection 정의 및 구현

11
SQL Injection 구구 구 구구 th!nkh@ck-hi café.thinkhack.org October 3, 2014

Upload: jongseok-choi

Post on 29-Jun-2015

265 views

Category:

Software


1 download

DESCRIPTION

SQL Injection 정의 및 구현

TRANSCRIPT

Page 1: Sql injection 정의 및 구현

SQL Injection 구현 및 방어

th!nkh@ck-hi

café.thinkhack.org

October 3, 2014

Page 2: Sql injection 정의 및 구현

SQL Injection 정의 및 구현

SQL Injection 이란 ?-웹 서비스는 효율적인 서비스제공을 위해서 웹 서버 어플리케이션과 데이터베이스가 연동되어있다 .이때 데이터베이스 질의어 (SQL Query) 를 이용하여 입력된 데이터에 대한 검증을 받게 된다 .이때 사용자가 악의적인 입력 값을 적용하여 정상적인 SQL 문이 오작동하게 하는 공격기법이다 .

Page 3: Sql injection 정의 및 구현

SQL Injection 구현

구현에 필요한 웹 컨테이너 및 언어 , DB-Tomcat- JSP- Mysql

Page 4: Sql injection 정의 및 구현

SQL Injection 구현

Page 5: Sql injection 정의 및 구현

SQL Injection 구현

Page 6: Sql injection 정의 및 구현

SQL Injection 구현

SELECT * FROM injection where id=‘x’ && password=‘y’;

SELECT * FROM injection where id=‘injection’ or ‘1’=‘1’--

Page 7: Sql injection 정의 및 구현

SQL Injection 구현

SELECT * FROM injection where id=‘x’ && pass-word=‘y’;

SELECT * FROM injection where id=‘test’--

Page 8: Sql injection 정의 및 구현

SQL Injection 구현 소스

Page 9: Sql injection 정의 및 구현

SQL Injection 방어- 문자열 필터링

1. indexOf()

Page 10: Sql injection 정의 및 구현

SQL Injection 방어- 문자열 필터링 ( 대문자 )

1. replace()

Page 11: Sql injection 정의 및 구현

SQL Injection 방어- 문자열 필터링 ( 대문자 )

1. PreparedStatement