반응형
Blind SQL Injection은 참과 거짓, 쿼리가 참일때와 거짓일 때의 서버의 반응 만으로 데이터를 얻어내는 기술입니다.
즉, 쿼리를 삽입하였을 때, 쿼리의 참과 거짓에 대한 반응을 구분 할 수 있을떄에 사용되는 기술입니다.
Non Blind SQl Injection은 조작된 SQL 구문이 데이터베이스에 그대로 전달되어 비정상적인 DB 명령을 실행시키는 공격기법 이다.
SQL Injection 공격 목적 및 영향
1.인증우회
SQL 인젝션 공격의 대표적인 경우로, 로그인 폼(Form)을 대상으로 공격을 수행한다. 정상적인 계정 정보 없이도 로그인을 우회하여 인증을 획득할 수 있다.
2.DB 데이터 조작 및 유출
조작된 쿼리가 실행되도록 하여, 기업의 개인정보나 기밀정보에 접근하여 데이터를 획득할수 있다. 또한 데이터 값을 변경하거나 심지어 테이블을 몽땅 지워버릴 수도 있다.
3.시스템 명령어 실행
일부 데이터베이스의 경우 확장 프로시저를 호출하여 원격으로 시스템 명령어를 수행할 수 있도록 한다. 시스템 명령어를 실행할 수 있다면 행당 서버의 모든 자원에 접근하고 데이터를 유출,삭제 할 수 있다는 말이 된다.
'IT > 보안 용어' 카테고리의 다른 글
| Packet 개념 및 종류 (0) | 2022.02.25 |
|---|---|
| 포트 스캔(PortScan) 개념 및 종류 (0) | 2022.02.25 |
| 랜섬웨어(Ransomware) (0) | 2019.11.04 |
| DDoS(Distributed Denial of Service, 분산서비스거부공격) (0) | 2019.11.04 |
| 웹서버 공격기법 (0) | 2019.11.04 |