sql injection 정의 및 구현
DESCRIPTION
SQL Injection 정의 및 구현TRANSCRIPT
SQL Injection 구현 및 방어
th!nkh@ck-hi
café.thinkhack.org
October 3, 2014
SQL Injection 정의 및 구현
SQL Injection 이란 ?-웹 서비스는 효율적인 서비스제공을 위해서 웹 서버 어플리케이션과 데이터베이스가 연동되어있다 .이때 데이터베이스 질의어 (SQL Query) 를 이용하여 입력된 데이터에 대한 검증을 받게 된다 .이때 사용자가 악의적인 입력 값을 적용하여 정상적인 SQL 문이 오작동하게 하는 공격기법이다 .
SQL Injection 구현
구현에 필요한 웹 컨테이너 및 언어 , DB-Tomcat- JSP- Mysql
SQL Injection 구현
SQL Injection 구현
SQL Injection 구현
SELECT * FROM injection where id=‘x’ && password=‘y’;
SELECT * FROM injection where id=‘injection’ or ‘1’=‘1’--
SQL Injection 구현
SELECT * FROM injection where id=‘x’ && pass-word=‘y’;
SELECT * FROM injection where id=‘test’--
SQL Injection 구현 소스
SQL Injection 방어- 문자열 필터링
1. indexOf()
SQL Injection 방어- 문자열 필터링 ( 대문자 )
1. replace()
SQL Injection 방어- 문자열 필터링 ( 대문자 )
1. PreparedStatement