1. SQL 인젝션 공격이란?
소위 SQL 인젝션 공격은 공격자가 웹 양식의 입력 필드나 페이지 요청의 쿼리 문자열에 SQL 명령을 삽입하고 서버를 속여 악의적인 SQL 명령을 실행하도록 하는 것을 의미합니다. 일부 형식에서는 사용자 입력이 동적 SQL 명령을 구성(또는 영향을 미치기)하는 데 직접 사용되거나 저장 프로시저에 대한 입력 매개 변수로 사용됩니다. 이러한 형식은 특히 SQL 삽입 공격에 취약합니다. 일반적인 SQL 주입 공격 프로세스는 다음과 같습니다.
⑴ ASP.NET 웹 응용 프로그램에는 로그인 페이지가 있습니다. 이 로그인 페이지는 사용자가 응용 프로그램에 액세스할 수 있는 권한이 있는지 여부를 제어합니다.
⑵ 로그인 페이지에 입력된 내용은 동적 SQL 명령을 구성하는 데 직접 사용되거나 저장 프로시저의 매개변수로 직접 사용됩니다. 다음은 쿼리를 구성하는 ASP.NET 응용 프로그램의 예입니다.
System.Text.StringBuilder query = new System.Text.StringBuilder(
"로그인 = '"인 사용자에서 * 선택
.Append(txtLogin.Text).Append("' AND 비밀번호='")
.Append(txtPassword.Text).Append("'");
⑶ 공격자는 사용자 이름과 비밀번호 입력란에 "' 또는 '1'='1"과 같은 것을 입력한다.
⑷ 사용자가 입력한 내용이 서버에 제출된 후, 서버는 위의 ASP.NET 코드를 실행하여 사용자에게 질의하는 SQL 명령을 구성하지만, 공격자가 입력한 내용은 매우 특별하기 때문에 최종 SQL 명령은 다음과 같습니다. 다음과 같이 됩니다: SELECT * from Users WHERE 로그인 = '' 또는 '1'='1' AND 비밀번호 = '' 또는 '1'='1'.
⑸ 서버는 사용자가 입력한 신원 정보와 서버에 저장된 신원 정보를 비교하기 위해 질의 또는 저장 프로세스를 실행합니다.
⑹ 실제로 인젝션 공격에 의해 SQL 명령어가 수정되어 사용자의 신원을 제대로 인증할 수 없기 때문에 시스템은 공격자에게 잘못된 권한을 부여하게 된다.
공격자가 응용 프로그램이 신원 확인 쿼리를 위해 양식에 직접 입력된 콘텐츠를 사용할 것임을 알고 있는 경우, 그는 일부 특수 SQL 문자열을 입력하여 쿼리를 변조하여 원래 기능을 변경하고 시스템을 속여 액세스 권한을 부여하도록 시도합니다.
시스템 환경에 따라 공격자가 입힐 수 있는 피해도 달라지는데, 이는 주로 데이터베이스에 접근하는 애플리케이션의 보안 권한에 따라 결정된다. 사용자 계정에 관리자 또는 기타 비교적 고급 권한이 있는 경우 공격자는 데이터 추가, 삭제, 업데이트 또는 테이블 직접 삭제를 포함하여 데이터베이스 테이블에 대해 원하는 다양한 작업을 수행할 수 있습니다.
2. 예방하는 방법은 무엇입니까?
다행스럽게도 ASP.NET 응용 프로그램이 SQL 주입 공격으로 인해 손상되는 것을 방지하는 것은 특별히 어렵지 않습니다. 양식 입력 콘텐츠를 사용하여 SQL 명령을 구성하기 전에 모든 입력 콘텐츠를 필터링하기만 하면 됩니다. 입력 필터링은 다양한 방법으로 수행할 수 있습니다.
⑴ SQL 쿼리가 동적으로 구성되는 상황에서는 다음과 같은 기술을 사용할 수 있습니다.
첫째: 작은따옴표를 바꿉니다. 즉, 공격자가 SQL 명령의 의미를 수정하는 것을 방지하기 위해 작은따옴표를 모두 두 개의 작은따옴표로 변경합니다. 이전 예를 다시 살펴보면 "SELECT * from Users WHERE login = ''' or ''1''=''1' AND 비밀번호 = ''' or ''1''=''1'"은 분명히 다음과 같은 결과를 얻을 것입니다. 동일한 "SELECT * from Users WHERE 로그인 = '' 또는 '1'='1' AND 비밀번호 = '' 또는 '1'='1'" 다른 결과.
둘째: 공격자가 "SELECT * from Users WHERE 로그인 = 'mas' -- AND 비밀번호 =''"와 같은 쿼리를 구성하는 것을 방지하기 위해 사용자 입력 콘텐츠에서 모든 하이픈을 제거합니다. 해당 쿼리의 접미사 절반이 주석 처리되었기 때문입니다. 공격자는 합법적인 사용자 로그인 이름만 알면 되며 성공적으로 액세스하기 위해 사용자의 비밀번호를 알 필요는 없습니다.
셋째: 쿼리를 실행하는 데 사용되는 데이터베이스 계정의 권한을 제한합니다. 쿼리, 삽입, 업데이트 및 삭제 작업을 수행하려면 다른 사용자 계정을 사용하십시오. 서로 다른 계정에서 수행할 수 있는 작업을 격리함으로써 원래 SELECT 명령을 실행하는 데 사용된 위치가 INSERT, UPDATE 또는 DELETE 명령을 실행하는 데 사용되는 것을 방지합니다.
⑵ 모든 쿼리를 실행하려면 저장 프로시저를 사용하세요. SQL 매개변수가 전달되는 방식은 공격자가 작은따옴표와 하이픈을 사용하여 공격을 수행하는 것을 방지합니다. 또한 특정 저장 프로시저만 실행하도록 데이터베이스 권한을 제한할 수 있습니다. 모든 사용자 입력은 호출된 저장 프로시저의 보안 컨텍스트를 준수해야 하므로 주입 공격이 발생하기 어렵습니다.
⑶ 양식 또는 쿼리 문자열 입력의 길이를 제한하십시오. 사용자의 로그인 이름이 최대 10자인 경우 양식에 입력된 10자를 초과하면 공격자가 SQL 명령에 유해한 코드를 삽입하기가 훨씬 어려워집니다.
⑷ 사용자 입력의 적법성을 확인하고 입력 내용에 합법적인 데이터만 포함되어 있는지 확인하십시오. 데이터 검사는 클라이언트 측과 서버 측 모두에서 수행되어야 합니다. 클라이언트 측 검증 메커니즘의 취약한 보안을 보완하기 위해 서버 측 검증이 수행됩니다.
클라이언트 측에서는 공격자가 해당 웹페이지의 소스코드를 탈취하고, 적법성을 검증하는 스크립트를 수정(혹은 스크립트를 직접 삭제)한 뒤, 수정된 형태를 통해 불법 콘텐츠를 서버에 제출하는 것이 전적으로 가능하다. 따라서 검증 작업이 실제로 수행되었는지 확인하는 유일한 방법은 서버 측에서도 검증을 수행하는 것입니다. 유효성 검사를 위한 클라이언트 측 스크립트를 자동으로 생성할 수 있는 RegularExpressionValidator와 같은 다양한 내장 유효성 검사 개체를 사용할 수 있으며 물론 서버 측 메서드 호출을 삽입할 수도 있습니다. 미리 만들어진 유효성 검사 개체를 찾을 수 없는 경우 CustomValidator를 통해 직접 만들 수 있습니다.
⑸ 사용자의 로그인 이름, 비밀번호, 기타 데이터를 암호화하여 저장합니다. 사용자가 입력한 데이터를 암호화한 후 데이터베이스에 저장된 데이터와 비교하는 것은 사용자가 입력한 데이터를 "멸균"하는 것과 동일하므로 사용자가 입력한 데이터는 더 이상 데이터베이스에 특별한 의미가 없으므로 이를 방지합니다. 공격자가 SQL 명령을 주입하는 것을 방지합니다. System.Web.Security.FormsAuthentication 클래스에는 입력 데이터를 삭제하는 데 매우 적합한 HashPasswordForStoringInConfigFile이 있습니다.
⑹ 데이터를 추출한 쿼리에서 반환된 레코드 수를 확인합니다. 프로그램이 하나의 레코드만 반환하도록 요구하지만 실제 반환된 레코드가 두 개 이상의 행인 경우 오류로 처리됩니다.