>1. SQL injection이란? : Web App에서의 정상적인 값이 아닌 RDMS에서 사용되는 구조화된 질의 언어인 SQL을 주입하는 공격 ex) /endpoint?idx=100이 아니라 /endpoint?idx={sql} 위험도, 파급력, OWASP 1순위로 계속 1순위로 분류될만큼 영향력 있는 공격 2. 취약점 발생 원인 공격 원리 공격자는 취약한 웹앱을 대상으로 sql 구문 주입 → 미완성된 sql 구문이 사용자 입력 값을 통해 완성, 검증 없이 조합될때 취약점 발생 → 이 완성된, 변조된 sql 구문이 데베에 질의 요청 그게 왜 가능한가? WAS와 DB는 신뢰 관계이기 때문에 변조된 질의가 오더라도 대답을 해줌 = 공격자 악의적인 질의를 해도 이를 반환함 결국엔 입력값 검증 미흡으로 인해 ..
'SQL_Injection' 태그의 글 목록