SQL-injection.md

SQL Injection

1. SQL injection 이란??

SQL injection 이란 악의적인 사용자가 보안상의 취약점을 이용하여, 임의의 SQL문을 주입하고 실행되기 하여 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위를 말한다. 인젝션 공격은 OWSAP Top10 중 첫번째에 속해 있으며, 공격이 비교적 쉬운 편이고 공격에 성공할 경우 큰 피해를 입힐 수 있는 공격이다.

• OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정한 문서이다.

injection의 실 예시로 2017년 3월에 일어난 '여기어때'의 대규모 개인정보 유출 사건이 있다.

• https://show-me-the-money.tistory.com/entry/%EC%97%AC%EA%B8%B0-%EC%96%B4%EB%95%8C-%ED%95%B4%ED%82%B9-%EC%82%AC%EA%B1%B4%EC%9D%84-%ED%8C%8C%ED%97%A4%EC%B9%98%EB%8B%A4

2. SQL injection 공격 종류 및 방법

1. 논리적 에러를 이용한 SQL injection(Error based SQL injection)
   • 가장 많이 쓰이고, 대중적인 공격 기법.
   • 사진에서 보이는 쿼리문은 일반적으로 로그인 시 많이 사용되는 SQL 구문.
   • 해당 구문에서 입력값에 대한 검증이 없음을 확인하고, 악의적인 사용자가 임의의 SQL 구문을 주입하였다.
   • 주입된 내용은 'OR=1 --'로 WHERE 절에 있는 싱글쿼터를 닫아주기 위한 싱글쿼터와 OR 1=1 라는 구문을 이용해 WHERE 절을 모두 참으로 만들고
   • --를 넣어 줌으로 뒤의 구문을 모두 주석 처리 해주었다.
   • 매우 간단한 구문이지만, 결론적으로 Users 테이블에 있는 모든 정보를 조회하게 됨으로써 가장 먼저 만들어진 계정으로 로그인에 성공하게 된다.
   • 보통은 관리자 계정을 맨 처음 만들기 때문에 관리자 게정에 로그인할 수 있게 된다.
   • 관리자 계정을 탈취한 악의적인 사용자는 관리자의 권한을 이용해 또 다른 2차피해를 발생시킬 수 있게 된다.

2. 유니언 명령어를 이용한 SQL injection(Union based SQl injection)
   • SQL에서 Union 키워드는 두 개의 쿼리문에 대한 결과를 통합해서 하나의 테이블로 보여주게 하는 키워드
   • 정상적인 쿼리문에 Union 키워드를 사용하여 인젝션에 성공하면 원하는 쿼리문을 실행할 수 있게 됨
   • 유니언 인젝션을 성공하기 위해서는 두 가지의 조건이 있다. (1. Union하는 두 테이블의 컬럼 수가 같아야하고, 2. 데이터의 형태가 같아야한다.)
   • 사진에서 보이는 쿼리문은 Board라는 테이블에서 게시글을 검색하는 쿼리문이다.
   • 입력값을 title과 contents 컬럼의 데이터랑 비교한 뒤 비슷한 글자가 있는 게시글을 출력한다.
   • 여기서 입력값으로 Union 키워드와 함께 컬럼 수를 맞춰서 SELECT 구문을 넣어주게 되면 두 쿼리문이 합쳐져서 하나의 테이블로 보여지게 된다.
   • 현재 인젝션 한 구문은 사용자의 id와 password를 요청하는 쿼리문이다.
   • 인젝션이 성공하게 되면, 사용자의 개인정보가 게시글과 함께 화면에 보여지게 된다.

3. 블라인드 SQL injection - based Boolean
   • Blind SQL injection은 DB로부터 특정한 값이나 데이터를 전달받지 않고, 단순히 참과 거짓의 정보만 알 수 있을때 사용한다.
   • 로그인 폼에 SQL injection이 가능하다고 가정 했을때, 서버가 응답하는 로그인 성공과 로그인 실패 메시지를 이용하여
   • DB의 테이블 정보 등을 추출해 낼 수 있다.
   • 이미지는 Blind injection을 이용하여 데이터베이스의 테이블 명을 알아내는 방법이다.
   • MySQL 인젝션이 가능한 로그인 폼을 통하여 악의적인 사용자는 임의로 가입한 abc123 이라는 아이디와 함께 abc123' and ASCI ~~~ 구문을 주입한다.
   • 해당 구문은 MySQL에서 테이블 명을 조회하는 구문으로 limit 키워드를 통해 하나의 테이블만 조회하고, SUBSTR 함수로 첫 글자만, 마지막으로 ASCII를 통해 ascii 값으로 변환해준다.
   • 만약에 조회되는 테이블 명이 Users라면 'U'자가 ascii 값으로 조회가 될 것이고, 뒤의 100이라는 숫자 값과 비교를 하게 된다.
   • 거짓이면 로그인 실패가 될 것이고, 참이 될 때까지 뒤의 100이라는 숫자를 변경해 가면서 비교를 하면 된다.
   • 공격자는 이 포르세스를 자동화 스크립트를 통하여 단기간 내에 테이블 명을 알아 낼 수 있다.

4. 블라인드 SQL injection - based Time
   • Time Based SQL injection도 마찬가지로 서버로부터 특정한 응답 대신에 참 혹은 거짓의 응답을 통해서 DB의 정보를 유추하는 기법이다.
   • 사용되는 함수는 MySQL 기준으로 SLEEP과 BENCHMARK이다.
   • 이미지는 Time based SQL injection을 사용하여 현재 사용하고 있는 데이터베이스의 길이를 알아내는 방법이다.
   • 로그인 폼에 주입이 되었으며 임의로 abc123이라는 계정을 생성해 둔다.
   • 악의적인 사용자가 abc123' OR ~~~ 구문을 주입한다.
   • 여기서 LENGTH 함수는 문자열의 길이를 반환하고, DATABASE 함수는 데이터베이스의 이름을 반환한다.
   • 위의 그림은 Time based SQL injection을 사용하여 현재 사용하고 있는 데이터베이스의 길이를 반환한다.
   • 주입된 구문에서, LENGTH(DATABASE()) = 1가 참이면 SLEEP(2)가 동작하고, 거짓이면 동작하지 않는다.
   • 이를 통해 숫자 1부분을 조작하여 데이터베이스의 길이를 알아낼 수 있다.
   • 만약에 SLEEP이라는 단어가 치환처리 되어있다면, 또 다른 방법으로 BENCHMARK나 WAIT 함수를 사용할 수 있다.

5. 저장된 프로시저에서의 SQL injection(Stored Procedure SQL injection)

   • 저장 프로시저는 일련의 쿼리들을 모아 하나의 함수처럼 사용하기 위한 것임.
   • 공격에 사용되는 대표적인 저장 프로시저는 MS-SQL에 있는 xp_cmdshell로 윈도우 명령어를 사용할 수 있게 된다.
   • 단, 공격자가 시스템 권한을 획득해야 하므로 공격 난이도가 높으나 공격에 성공한다면
   • 서버에 직접적인 피해를 입힐 수 있는 공격이다.
     
     

6. 다량의 SQL injection(Mass SQL injection)

   • 2008년에 처음 발견된 공격기법으로 기존 SQL injection과 달리 한번의 공격으로 다량의 데이터베이스가 조작되어 큰 피해를 입히는 것을 의미
   • 보통 MS-SQL을 사용하는 ASP 기반 웹 애플리케이션에서 많이 사용되며
   • 쿼리문은 HEX 인코딩 방식으로 인코딩하여 공격한다.
   • 보통 데이터베이스 값을 변조하여 데이터베이스에 악성스크립트를 삽입하고
   • 사용자들이 변조된 사이트에 접속 시 좀비PC로 감염되게 한다.
   • 이렇게 감염된 좀비PC들은 DDoS 공격에 사용된다.
     
     

3. 대응방안

1) 입력 값에 대한 검증

사용자의 입력이 DB Query에 동적으로 영향을 주는 경우, 입력된 값이 개발자가 의도한 값(유효값)인지 검증한다.
- ID, PASSWORD, 게시판 제목, 본문, 검색창, 주소창 등의 모든 입력란에 특수문자(등호, 부등호, 인용 부호등)를 입력하지 못하도록 소스코드 수정
- 입력 값에 정의된 문자 길이를 검증하여 SQL 문이 추가 삽입되지 않도록 예외처리
- 파라미터가 숫자인 경우 isnumeric과 같은 함수를 이용하여 검증하며, 문자인 경우 정규표현식을 이용하여 특수문자를 치환(특히 SQL문에서 활용되는 문자(',",--,or 등)는 반드시    

2) Prepared Statement 구문 사용

- Prepared Statement 구문을 사용하게 되면
- 사용자의 입력 값이 데이터베이스의 파라미터로 들어가기 전에 DBMS가 미리 컴파일 하여 실행하지 않고 대기한다.
- 그 후 사용자의 입력 값을 문자열로 인식하게 하여 공격 쿼리가 들어간다고 하더라도
- 사용자의 입력은 이미 의미 없는 단순 문자열이기 때문에 전체 쿼리문도 공격자의 의도대로 작동하지 않는다.

3) Error Message 노출 금지

- 공격자가 SQL injection을 수행하기 위해서는 데이터베이스의 정보(테이블명, 컬럼명 등)가 필요하다.
- 데이터베이스 에러 발생 시 따로 처리를 해주지 않았다면, 에러가 발생한 쿼리문과 함께 에러에 관한 내용을 반환해 준다.
- 여기서 테이블명 및 컬럼명 그리고 쿼리문이 노출이 될 수 있기 때문에
- 데이터베이스에 대한 오류발생시 사용자에게 보여줄 수 있는 페이지를 제작해야함.

4) 웹 방화벽 사용

- 웹 공격 방어에 특화되어있는 웹 방화벽을 사용하는 것도 하나의 방법이다.
- 웹 방화벽은 소프트웨어형, 하드웨어형, 프록시형 이렇게 세가지 종류로 나눌 수 있다.
- 소프트웨어형은 서버 내에 직접 설치하는 방밥이다.
- 하드웨어형은 네트워크 상에서 서버 앞 단에 직접 하드웨어 장비로 구성하는 것이다.
- 프록시 형은 DNS 서버 주소를 웹 방화벽으로 바꾸고 서버로 가는 트래픽이 웹 방화벽을 먼저 거치도록 하는 방법이다.

Reference

• https://noirstar.tistory.com/264
• https://12bme.tistory.com/98
• https://qh5944.tistory.com/m/156