인젝션(Injection)

문제6) OWASP 에서 발표한 보안 위협 인젝션(Injection)의 개념과 대응 방안을 설명하시오.

답)

 

 

1. 악성코드 보안 위협, 인젝션(Injection)의 개념

개념	응용 프로그램 보안 상의 허점을 의도적으로 이용해, 악의적인 명령어(예:SQL문 등)를 실행되게 함으로써 정상적인 프로그램(예:Database)을 비정상적으로 조작하는 공격 기법
공격 메커니즘
유형	SQL Injection	SQL Query 문의 논리적 오류를 이용하여 공격
	Blind SQL Injection	Query 결과에 따른 서버의 참과 거짓 결과를 이용하여 공격
	LDAP Injection	웹 어플리케이션의 악의적 LDAP문법을 이용해 서버가 의도치 않는 동작을 실행
	DLL Injection	다른 프로세스의 주소 공간 내에서 DLL 을 강제로 로드시킴으로써 코드를 실행
인젝션(Injection)공격은 시큐어 코딩 단계, 공격 탐지와 대응 조치의 3단계로 대응 진행

 

2. 인젝션(Injection)의 대응 방안 - 시큐어 코딩 단계

대응방안	세부 대응 방안	설명
입력값 유효성 검사	블랙 리스트 방식	SQL 쿼리의 구조를 변경시키는 문자나 키워드를 제한하는 방식
	화이트 리스트 방식	블랙리스트 방식에서는 금지된 문자 외에는 모두 허용하지만 화이트리스트 방식에서는 허용된 문자를 제외하고는 모두 금지하는 방식
동적 쿼리 사용 제한	정적 쿼리 사용	웹 애플리케이션이 DB와 연동할 때 정적 쿼리 사용
	매개변수화된 쿼리(구조화된 쿼리)사용	동적 쿼리를 정적 쿼리처럼 사용 쿼리 구문에서 외부 입력 값이 SQL 구문의 구조를 변경하지 못하도록 처리
오류 메시지 출력 제한	Database 오류 출력 제한	Database 오류 정보에 표시되는 내부 정보가 외부에 그대로 노출되지 않도록 처리 사용자 오류 메시지(Custom Error Message)로 대체
	추상화된 메시지	자세한 안내 메시지를 제거하여 공격자에게 공격범위 축소하지 못하도록 제한

 

3. 인젝션(Injection)의 대응 방안 - 공격 탐지 단계

대응 방안	세부 대응 방안	설명
SQL Injection 침입 확인	Database 확인	임시 테이블 혹은 이용자 계정 확인
	Web Log 점검	특정 웹 페이지의 반복된 접속 시도나 HTTP 500 error 지속 발생 확인 SQL 의 Query 구문의 존재 확인
SQL Injection 취약점 점검 툴	수동 점검	GET 방식 SQL 주입 공격 탐색 POST 방식 SQL 주입 공격 탐색
	자동 점검	자동으로 SQL Injection 주입 시도하는 공격 툴을 이용 Paros Proxy 를 이용한 자동 검색 Nikto web CGI 스캐너 SQL Injector

 

4. 인젝션(Injection)의 대응 방안 - 대응 조치 단계

대응방안	고려사항	설명
백업본 이용한 복구	백업 시점 이후 자료 유실 발생	침해 사고 발생 이전 백업본이 있을 경우 백업 본 이용 복구
컬럼 단위 복구	직접 적용하기 전에 문제가 없는지 사전 환경 구축 후 테스트 진행	발견한 악성 코드 문자열을 SQL Updata 명령어를 적용하여 삽입된 악성 코드 제거
일괄 스크립트 사용복구	직접 적용하기 전에 문제가 없는지 사전 환경 구축 후 테스트 진행	컬럼 단위 복구 스크립트는 복구 대상 컬럼이 많을 경우 많은 시간이 필요 일괄 스크립트 적용하여 빠르게 일괄 복구 수행

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥