SQL 인젝션 기초

💡해당 내용은 pentestqym의 내용을 다시 한 번 정리한 내용이며,
   모든 저작권은 해당 사이트에게 있습니다.

 이번에는 SQL Injection이 뭔지와 어떻게 이루어지는지 알아봅시다.

---

SQL Injection?

 SQL Injection은 웹 애플리케이션에서 사용되는 SQL(Structured Query Language)^[각주:1] 쿼리를 악의적으로 조작하여 데이터베이스를 공격하는 취약점입니다. 성공적인 공격으로 인해 공격자는 민감한 데이터나 개인 정보를 탈취하거나 데이터베이스를 손상시킬 수 있습니다. 이는 웹 보안에 매우 심각한 위협을 초래할 수 있습니다.

---

SQL Injection action?

우리가 흔히 사용하는 App은 아래 그림처럼 CRUD가 이루어집니다. 특히 DB와 상호작용하여 필요한 데이터를 처리합니다. 사용자의 요청은 WAS를 통해 DB에 작업을 수행하고, 그 결과를 응답으로 제공합니다. 이를 통해 웹 애플리케이션은 DB를 활용해 서비스를 제공합니다. 

 

구상 정도에 따라 물리적/논리적으로 서버를 구성할 수 있으며, 웹 서버측 기술에서도 위와 유사하게 배워봤죠?

1. 사용자가 웹 애플리케이션으로 데이터를 전송
- HTTP 통신(GET 매개변수 or POST Body 매개변수 등
2. 전송된 데이터는 서버측 스크립트에 의해 SQL 쿼리에 대입
3. 서버측 스크립트는 데이터베이스에 SQL 쿼리 실행을 요청

4. 데이터베이스는 SQL 쿼리를 실행하고 결과를 반환
5. 서버측 스크립트는 반환된 데이터를 기반으로 HTTP 응답을 생성하여 사용자에게 전달

 

 자! 그럼 위의 로그인 처리 방식에 SQLi의 공격을 수행된다고 가정합시다. 취약하게 구현된 로그인 로직은 SQLi로 우회하여 다른 사용자의 권한을 획득할 수 있습니다.

공격자가 ID 입력란에 아래와 같이 입력하였습니다.

admin' or '1' = '1

그리고 PW란에는 임의의 문자열을 입력하였습니다. 여기선 anyting으로 입력하였으며, 사용자가 입력한 ID와 PW를 HTTP통신으로 최종적으로 아래와 같은 SQL Query로 완성됩니다.

SELECT * FROM users WHERE id='admin' or '1'='1' AND password='anything';

이와 같이 기재된다면 사용자 ID가 admin이 있다면 패스워드 여부와 상관 없이 해당 정보를 호출하는 쿼리문이 완성됩니다. 바로 SQL 문이 항상 참으로 처리되기 때문이죠

 

그럼 왜 참이 되는지 알아봅시다.

위와 같이 3가지 조건을 확인할 수 있습니다. WHERE절에 or과 AND 두가지의 논리연산자가 있고, 각 논리 연산자 사이에 조건문이 참인지 확인해봅시다.

구분	내용	조건식의 참/거짓 여부
조건식1	id='admin'	TRUE     (admin 계정이 있다고 가정하므로 '참'입니다.)
조건식2	'1'='1'	TRUE     (누가 봐도 '참'입니다.)
조건식3	password='anything'	FALSE    (admin 계정의 틀린 패스워드이므로 '거짓'입니다.)

자 그럼 논리연산자랑 대입하여 연산합시다. 단, AND가 OR보다 우선순위가 높다는 점 유의하세요

위와 같이 적용된 모습을 확인할 수 있습니다. 그러면 해당 퀴리문이 참이 되어 admin의 계정의 정보를 탈취할 수 있는 SQLi 공격이 적용됩니다.

 

또한 공격자가 사용할 퀴리는 개발자가 만든 퀴리에 있어서 참조하여 해야하는 점을 생각하면서 다음으로 넘어가겠습니다.

SELECT *
FROM users
WHERE ((id='spike') AND (password='ilovejulia'));

원래 쿼리에 괄호로 여닫이가 있다면 이를 고려하여 아래와 같이 쿼리문으로 공격하는 것이지요

admin') or ('1'='1

 

 SQLi는 인증우회말고도 공격자가 의도한 새로운 DB 명령문을 호출할 수도 있습니다. 다음은 App에서 게시판에서 게시글을 조회하는 일반적인 쿼리문입니다.

아례는 게시판 기능에서 사용자가 특정 게시글(게시글 고유번호가 4215로 가정)을 클릭하면 나오게 하는 쿼리문입니다.

SELECT brd_no, subject, content, author, post_date FROM board WHERE brd_no=4215;

 공격자는 다음과 같이 SQL 쿼리의 종료를 알리는 기호인 세미콜론(;)과 본인이 의도한 악의적인 SQL 문장을 이용하여 "brd_no"라는 GET 매개변수를 조작합니다. 9999는 존재하지 않는 게시글의 번호로 가정합니다.

HTTP 통신(GET 파라미터; 사용자 요청 전송)

/board/view.php?brd_no=9999;Drop%20table%20users;

 사용자의 요청에서 전달된 "brd_no" 매개변수의 값은 SQL 쿼리에 포함되어 DB에서 실행됩니다. 그러나 악의적인 의도로 추가된 세미콜론(;)으로 인해 원래의 SQL 쿼리와 공격자가 추가한 악의적인 SQL 쿼리가 동일한 트랜잭션에서 실행됩니다.

SELECT brd_no, subject, content, author, post_date FROM board WHERE brd_no=9999;Drop table users;

만약 App에서 사용되는 DB의 계정이 위(삭제)와 같은 권한을 갖고 있다면 심각한 문제를 초래할 수 있습니다.

 SQL Injection은 HTTP 매개변수 등의 값에서 안전하지 않은 문자[홑따옴표('), 세미콜론(;) 등]를 허용하여 SQL 쿼리에 악의적인 코드를 삽입하는 공격입니다. 이를 통해 데이터베이스에서 예상치 못한 동작을 유발할 수 있습니다.

---

SQLi 종류

SQLi는 DB 접근방식이나 공격기법에 따라 아래와 같이 나뉩니다.

 

오류(Error) 기반 SQLi

 데이터베이스 오류를 이용하여 공격자가 데이터베이스 정보를 파악하는 공격 기법입니다. 공격자는 의도적인 오류를 유발하여 데이터베이스의 구조나 정보를 추출합니다.

 

📎더 알아보기!!

Error 기반 SQL 인젝션

---

 

 UNION기반 SQLi

 공격자가 의도한 SQL 쿼리를 UNION 연산자를 이용하여 기존 SQL 쿼리에 덧붙이고 기존 SQL을 무효화시켜 원하는 내부 데이터를 절취할 수 있는 공격 기법입니다.

 

📎더 알아보기!!

링크 링크

---

 

Blind SQLi

 데이터베이스 오류나 데이터가 직접적으로 노출되지 않을 때 사용되는 공격 기법입니다.

 

 공격자는 서버의 미세한 응답과 동작 방식을 관찰하여 공격 성공 여부를 추론합니다. 이를 위해 일반적으로 사용되는 기법이 있습니다.

 

Boolean 기반

 SQL 쿼리의 결과가 참 또는 거짓에 따라 서버의 응답이 달라지는 경우에 사용됩니다. 공격자는 참/거짓 여부에 따라 공격의 성공 여부를 판단합니다.

Time 기반

 SQL 쿼리의 결과에 따라 서버의 응답 시간을 조작할 수 있는 경우에 사용됩니다. 공격자는 지연된 응답 시간을 통해 SQL Injection에 취약한지 여부를 판단합니다.

 

📎더 알아보기!!

링크 링크

 

---

SQLi의 영향

 SQL Injection 공격은 웹 애플리케이션의 로직을 파괴하고 데이터베이스 정보와 개인 정보를 유출하며 데이터의 손상과 손실을 초래할 수 있습니다. 또한 일부 데이터베이스에서 제공되는 저장 프로시저(Stored Procedure)^[각주:2]를 악용하면 원격 명령 실행 등으로 시스템 손상을 초래할 수 있습니다.

---

SQLi 예방책

 SQL Injection을 예방하기 위해서는 단순히 홑따옴표(')나 세미콜론(;) 등의 문자를 제거하는 것 이상의 방어책이 필요합니다. 아래는 SQL Injection을 예방하기 위해 적용할 수 있는 방법들입니다

---

입력값 검사

 HTTP 요청의 사용자 데이터에 SQL 구문으로 해석될 수 있는 문자나 악성 SQL 구문을 검사하여 필터링하는 것은 SQL Injection 공격을 예방하기 위한 중요한 단계입니다. 이러한 검사 및 필터링은 일부 SQL Injection 공격에 대해 효과적이지만, 완벽한 보안을 제공하지는 않습니다.

 

 SQL Injection 공격은 다양한 기법과 변형을 사용하므로, 추가적인 보안 조치와 함께 사용되어야 합니다.

• SQL 기호 : 홑따옴표('), 겹따옴표("), 세미콜론(;), 대시(-), 샵(#), 슬래시샵 (/*) 등
• SQL 구문 : SELECT, INSERT, UPDATE, DELETE, UNION, GROUP BY, HAVING, ORDER BY 등

---

저장 프로시저 사용

 저장 프로시저^[각주:3]를 사용하는 방법은 웹 애플리케이션에서 데이터베이스 작업을 수행할 때 일반적으로 사용되지만, 저장 프로시저 내에서 안전하지 않은 SQL 쿼리 처리 방식이 사용되거나 저장 프로시저 호출 명령에 사용자 입력값이 안전하지 않은 방식으로 사용되는 경우 SQL Injection 공격에 취약할 수 있습니다.

 

 공격자는 저장 프로시저 실행 명령을 조작하여 원치 않는 저장 프로시저를 호출하거나 악의적인 명령을 실행할 수 있습니다. 예를 들면, xp_cmdshell^[각주:4]을 사용하여 쉘 명령을 실행하는 경우입니다. 이에 대한 방어 조치가 필요합니다.

 

 다음은 sp_boardList 저장 프로시저 실행 명령을 종료시키고 뒤에 xp_cmdshell 저장 프로시저를 통해 C드라이브의 파일과 디렉토리를 출력하는 쉘 명령을 실행하는 경우입니다.

exec sp_boardList '30', 'test'; exec master..xp_cmdshell 'dir C:\'-- 

---

매개변수화된 쿼리 사용

데이터베이스에서 반복적으로 실행되는 SQL 쿼리를 효율적으로 처리하기 위해 사용되는 기능

 해당 쿼리를 미리 준비한 후 필요한 값들을 매개변수로 전달하여 실행합니다. 매개변수화된 쿼리를 사용하면 SQL 구조를 감추고 공격자의 공격을 방지할 수 있어 SQL Injection 방어에 효과적입니다.

 

다음은 매개변수화된 쿼리를 적용하는 간단한 PHP 예제 소스코드입니다. 매개변수화된 쿼리를 적용하지 않고 데이터베이스에 데이터를 삽입하는 소스코드입니다.

$conn = mysqli_connect("example.com","spike","ilovejulia","bebop_db");
$sql = "INSERT INTO crews (firstname, lastname, email) 
	VALUES ('$_POST["firstname"]','$_POST["lastname"]','$_POST["email"]')";

$mysqli->query($conn, $sql);

 보시는 바와 같이 SQL 쿼리에 HTTP 매개변수로 전달받은 값이 바로 입력되고 SQL 쿼리가 데이터베이스에 전달되어 실행됩니다.

 

하지만 위의 소스코드에 매개변수화된 쿼리를 적용하면 다음과 같은 형태가 됩니다. 

$conn = mysqli_connect("example.com","spike","ilovejulia","bebop_db");
$stmt = $conn->prepare("INSERT INTO crews (firstname, lastname, email) VALUES (?, ?, ?)");

$stmt->bind_param("sss", $firstname, $lastname, $email);
$firstname = $_POST['firstname'];
$lastname = $_POST['lastname'];

$email = $_POST['email'];
$stmt->execute();

 SQL 쿼리의 INSERT 구문을 보시면 VALUES 절에 데이터가 입력될 곳은 물음표(?)로 표기하였습니다. 이를 Placeholder라고 합니다.

 

 이 SQL 쿼리는 데이터베이스에 전송되고, 추후 사용자로부터 전달받은 데이터를 매개변수를 통해 전달(바인딩)하여 SQL 쿼리를 실행합니다.

---

최소 권한 & 기능 사용

 DBA나 고급 권한을 가진 계정을 사용하는 것은 피해야하며, 또한 불필요한 기능들은 비활성화해야 합니다. 이를 통해 웹 애플리케이션의 보안을 강화할 수 있습니다.

---

DB 최신 패치

 사용 중인 DB의 제작사가 발표한 내용대로 최신 패치를 지속적으로 해야합니다.

---

참고 자료

 

참고 이미지

 

 

1. DB와 상호작용하기 위해 사용되는 언어 [본문으로]
2. 일련의 쿼리를 마치 하나의 함수처럼 실행하기 위한 쿼리의 집합 [본문으로]
3. 데이터베이스에서 미리 정의된 프로그램 또는 루틴 [본문으로]
4. Windows 명령 셸을 생성하고 실행을 위해 문자열로 전달합니다. 모든 출력은 텍스트 행으로 반환됩니다. [본문으로]