[보안기사] SQL 인젝션
정보보안/정보보안기사2025. 12. 19. 11:20
정말 자주 출제되는 문제.
항상 참으로 나오는 경우와 Blind SQL 인젝션은 기본이다.
SQL Injection 대응
(1) 입력값 필터링, 입력값 크기 제한, Dynamic SQL 지양, Prepared statement 사용
(2) 데이터베이스 권한 관리, 공통 오류 페이지 사용(오류반환 설정), WAF/IDS, 스토어프로시저 사용
Blind SQL Injection
(1) SQL 결과가 참/거짓으로 응답이 오기 때문에 입력해본 문자열이 맞는지 틀린지 공격자가 확인
(2) substr() 함수를 이용하여 하나씩 자르고 확인
ex. ' jay’ and substring(db_name()1,1)=’w’ – DB 이름 알아내기
'정보보안 > 정보보안기사' 카테고리의 다른 글
| [보안기사] 포트 스캐닝, 세션 하이재킹 (0) | 2026.01.05 |
|---|---|
| [보안기사] HTTP 구조 (0) | 2025.12.24 |
| [보안기사] Overflow 공격 (0) | 2025.12.18 |
| 정보보안기사 실기 정리 파일 (0) | 2025.12.05 |
| 정보보안기사 필기 빈출 정리 (0) | 2025.02.27 |
댓글()
