[SQL Angeles] 2017-06-06 [SQL Injection]

[SQL Angeles] 2017-06-06 LA 한인 SQL Server 스터디 모임

-     SQL Injection

 

SQL Angeles 커뮤니티는 SQL PASS의 공식 회원이며, LA Chapter 그룹으로 PASS 커뮤니티 중 유일하게 한국어로 진행되는 모임입니다. 자세한 소개는 아래 공식 홈페이지를 참고해주시기 바랍니다.

 

SQL Angeles PASS 공식 홈페이지 : http://SQLAngeles.com / http://sqlangeles.sqlpass.org/

 

SQL Angeles 커뮤니티는 정기적으로 화요일 8PM ~ 10PM (2시간, LA 시간 기준) 온, 오프라인 스터디를 함께 진행하며(장소 및 시간은 공식 홈페이지를 통해 공지 합니다.) SQL Server를 함께 공부하고 다양한 IT 트렌드를 공유하는 기술 및 네트워크를 공유하는 모임 입니다. 온, 오프라인 스터디는 참여 제한이 없습니다. 단, 오프라인으로 스터디에 참여하고 싶은 분들은 카카오톡(ID : SQLMVP), 페이스북(https://www.facebook.com/sqlmvp) 메신저, email(jevida@naver.com) 등으로 연락 주시기 바랍니다.  오프라인 모임의 경우 스터디 장소 출입이 자유롭지 못한 관계로 반드시 사전에 협의가 되어야 합니다. 또한 홈페이지에 가입하시면 스터디 일정에 대한 내용을 이메일로 받을 수 있습니다. 자세한 내용은 본문 하단의 회원 가입 안내를 참고해 주세요.

 

오프라인 스터디는 LA El Segundo에 위치한 Nexon America office에서 진행합니다.

주소 : 222 N Sepuveda Blvd, El Segundo, CA, 90245 (https://goo.gl/maps/nVwdeqfw7XK2)

 

 

 

 

오늘 발표는 Charlie 님께서 진행해 주셨으며 발표내용은 해킹 기법중 하나인 SQL Injection으로 SQL Injection 공격방법과, 다양한 패턴, 그리고 Injection을 예방하기 위한 방법에 대해서 살펴 보았습니다.

 

 

SQL Injection : 응용 프로그램 보안상의 허점을 의도적으로 이용해, 개발자가 생각하지 SQL문을 실행되게 함으로써 데이터베이스를 비정상 적으로 조작하는 코드 인젝션 공격 방법이다. 주로 공격자가 주소창이나 아이디, 비밀번호 입력창에 명령어를 입력하고 웹사이트에 침투, 서버에서 정보를 탈취한다.

 

아래 자료를 보면 해킹 공격중 많인 이용되고 있는 방법 중 하나이며 최근 한국의 유명 사이트 뽐X, 여기어X 등 다양한 사이트가 이 기법으로 해킹되어 개인정보가 유출 되었습니다.

 

 

 

SQL Injection의 역사는 오래되었으며, 대부분 공격패턴들이 공개된 상태로 예방 방법도 많이 있지만 의외로 개발자의 실수로 허점이 많이 노출 되기도 합니다. 이번 스터디에서는 Charlie님께서 Injection에 대한 기본 개념을 소개하고, 일부 알려진 패턴들에 대해서 어떻게 Injection 공격이 발생하는지, 그리고 이것을 예방하기 위해서는 어떤 방어코드를 사용해야하는지에 대해서 살펴 보았습니다.

또한 이미 인터넷에 공개된 SQL Injection 공격툴을 이용하여 임의의 사이트를 대상으로 Injection 테스트를 진행해보기도 하였습니다. 툴의 기능은 매우 놀라울 정도로 잘 만들어져 있었으며, 여러 DB를 공격할 수 있는 패턴을 가지고 있었습니다. 해당 툴을 실행하자 가장먼저 어떤 데이터베이스인지 정보를 알아내는 코드가 실행되고 SQL 정보가 파악되자 해당 DB에 특화된 SQL Injection 코드를 실행하였습니다. 아래 동영상은 이번 스터디에서 시연된 툴로써 어떻게 공격이 이루어지는지 영상으로 확인할 수 있습니다.

 

동영상 링크 : https://youtu.be/t2US00UcbbI

 

 

 

오늘 스터디에서 중요한 몇 가지.

1.     Injection 패턴들은 생각보다 많다. (예방하기 위해서 다양한 패턴을 알아야 한다.)

2.     DB별로 특성이 있으므로 자기가 사용하고 있는 DB의 특성을 잘 파악해야한다.

3.     해커의 사고 방식은 우리의 일반적인 사고 방식과 다르다.  (다양하게 생각하라)

4.     웹페이저에서 에러가 발생하였을때 에러코드를 보이지 않게 한다.

5.     최근 공격패턴이 다양해지고 있다. (QR 코드나 PDF등의 메타 정보를 이용해서도 Injection이 가능하다)

 

앞으로도 다양한 주제로 스터디를 계속해서 진행할 예정이며 꾸준한 관심과 참여 부탁 드립니다. SQL Angeles 홈페이지에 가입하시면 스터디 일정 및 온라인 참여 링크를 이메일로 수신할 수 있습니다. 아래 안내를 참고해서 챕터 가입을 부탁 합니다.

1.     http://sqlpass.org/ 접속 합니다.

2.     우측 상단의 SIGN IP FOR FREE 버튼을 클릭해서 회원 가입 합니다. 가입한 이메일로 안내문이 발송 되니 자주 사용하는 이메일로 가입해주세요.

 

 

3.     가입 완료 후 로그인을 하여 [Community] – [Local Group]를 클릭합니다.

 

 

4.     아래 그림과 같이 Region 을 선택하고 Angeles 검색하여 SQL Angeles 챕터에 JOIN 버튼을 클릭합니다. (저는 이미 가입되어 있어 LEAVE라고 버튼이 표시 되어 있습니다.)

 

 

 

2017-06-06 / 강성욱 / http://sqlmvp.kr / http://sqlangeles.com

 

LA 한인 SQL 스터디 모임, LA IT 모임, DB 스터디, SQL 스터디, SQL Server, DB 스터디, LA SQL Server, sqlmvp, SQL Angeles