인젝션
: 악의적인 명령어나 질의어의 일부분을 인터프리터에 보내 예기치 않은 명령 실행이나 권한 없는 데이터에 접근하도록 한다.
인젝션 공격은 데이터의 손실,파괴 책임 추적성 결여, 서비스 거부 및 호스트를 장악할 수도 있다.
대비책
: 신뢰할 수 없는 데이터를 명령어와 질의로 분리한다.
인터프리터 사용을 금지하거나 인터페이스를 제공하는 안전한 API를 사용하는 것이다.
특수문자 등을 검사하여 허용되지 않은 문자는 에러로 처리한다.
SQL서버의 에러메시지를 외부에 제공하지 않는다.
0 개의 댓글:
댓글 쓰기