|
http://www.hackerschool.org/HS_Boards/zboard.php?AllArticle=true&no=24180 [º¹»ç]
http://news.nate.com/view/20120730n11006?mid=n0604
=======================================================================
Ú¸¡¤EU ÇØÄ¿µé °ø°Ý ÀÌ¿ë ±ÞÁõ
ÇØÄ¿µéÀÌ ÃÖ±Ùµé¾î °¡Àå ¸¹ÀÌ »ç¿ëÇÏ´Â ÇØÅ· ¼ö´ÜÀº ¡®SQLÀÎÁ§¼Ç¡¯À̶ó´Â ±â¹ýÀÎ °ÍÀ¸·Î Á¶»çµÆ´Ù.
ÁÖ¿ä ¿Ü½ÅÀº Áö³ 26ÀÏ(ÇöÁö½Ã°£) º¸¾È Ŭ¶ó¿ìµå È£½ºÆà Àü¹®±â¾÷ÀÎ ÆÄÀ̾îÈ£½ºÆ®ÀÇ º¸°í¼¸¦ Àοë, ¹Ì±¹°ú À¯·´ µ¥ÀÌÅͼ¾ÅÍ¿¡¼ SQLÀÎÁ§¼Ç °ø°ÝÀÌ Áö³ 1ºÐ±â ´ëºñ 2ºÐ±â¿¡ 69%°¡ ´Ã¾î³µ´Ù°í º¸µµÇß´Ù.
ÀÌ È¸»ç´Â SQLÀÎÁ§¼Ç°ú ÇÔ²² Å©·Î½º»çÀÌÆ®½ºÅ©¸³ÆÃ(XSS), µð·ºÅ丮 Æ®·¹¹ö¼È(Directory traversal), Å©·Î½º»çÀÌÆ® ¸®Äù½ºÆ® Æ÷°Ô¸®(CSRF) µîÀ» ´ë»óÀ¸·Î ÀÌ·¯ÇÑ °á°ú¸¦ ³»³ù´Ù.
ÆÄÀ̾îÈ£½º´Â Áö³ 1ºÐ±â¿¡ 27¸¸7õ70°ÇÀÇ SQLÀÎÁ§¼ÇÀ» ÀÌ¿ëÇÑ °ø°ÝÀÌ Â÷´ÜµÆÀ¸³ª 2ºÐ±â µé¾î Â÷´ÜµÈ °ø°ÝÀÌ 46¸¸9õ983°Ç¿¡ À̸£·¶´Ù°í ¹àÇû´Ù. ÀÌ È¸»ç´Â ¡°µ¥ÀÌÅ͸¦ ÈÉÄ¡±â À§ÇÑ °ø°Ý¹æ½ÄÀ¸·Î ÀÚÁÖ È°¿ëµÈ´Ù¡±°í ¼³¸íÇß´Ù.
SQL ÀÎÁ§¼ÇÀº º¸¾ÈÀÌ Ãë¾àÇÑ À¥»çÀÌÆ®ÀÇ URL°ú ÅؽºÆ®Çʵ忡 ¾Ç¼ºÄڵ带 ½É´Â´Ù. ÀÌ °ø°ÝÀÇ ¸ñÇ¥´Â µ¥ÀÌÅͺ£À̽ºÀÇ ³»¿ëÀ» ÈÉÄ¡°í 2Â÷ ¹üÁË¿¡ È°¿ëÇϱâ À§ÇÑ °ÍÀÌ´Ù.
Áö³ÇØ ÇØÄ¿±×·ìÀÎ ·êÁî¼½ÀÌ ¼Ò´Ï¸¦ ÇØÅ·ÇÒ ¶§ ÀÌ °°Àº ¹æ¹ýÀ» ½è´Ù. ¿Ü½ÅÀº ¡°ÇØÄ¿µéÀÌ À̸ÞÀÏ ÁÖ¼Ò¿Í ºñ¹Ð¹øÈ£ µî °³ÀÎÁ¤º¸¸¦ ÈÉÄ¥ ¶§ ÀÌ ±â¹ýÀÌ ÀÚÁÖ »ç¿ëµÈ´Ù¡±°í ¸»Çß´Ù.
Áö³ ¼ö°³¿ù °£ ¸µÅ©µåÀÎ, ÀÌÇϸð´Ï, ¾ßÈÄ, ¾Èµå·ÎÀ̵å Æ÷·³, Æû½ºÇÁ¸µ, ¿£ºñµð¾Æ µîÀº ¸ðµÎ SQL ÀÎÁ§¼Ç °ø°ÝÀÌ ÀÖ¾ú´ø °ÍÀ¸·Î ÃßÁ¤µÇ°í ÀÖ´Ù.
¿Ü½ÅÀº ÀÛ³â HP°¡ ¹ßÇ¥ÇÑ »çÀ̹ö º¸¾È À§Çè¿¡ °üÇÑ º¸°í¼¸¦ ÀοëÇØ SQLÀÎÁ§¼Ç °ø°ÝÀÌ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» »ç¿ëÇÏ´Â »ç¶÷µé¿¡°Ô °¡Àå ÀαâÀÖ´Â °ø°Ý¹ýÀÎ °ÍÀ¸·Î ³ªÅ¸³µ´Ù°í ¹àÇû´Ù.
ÆÄÀ̾î È£½ºÆ®ÀÇ ¼±ÀÓ º¸¾È ¿£Áö´Ï¾îÀÎ Å©¸®½º ÈþŬ¸®´Â ¡°¸¹Àº °í°´µéÀÌ ÀÌ ¹æ¹ýÀ» ÅëÇØ µ¥ÀÌÅ͸¦ ÀÒ°í ÀÖ´Ù¡±¸ç ¡°SQL ÀÎÁ§¼Ç °ø°ÝÀº ÀÚµ¿ÈµÆ°í, ¸¹Àº À¥»çÀÌÆ® ÀÌ¿ëÀÚµéÀÌ Á¤º¸À¯ÃâÀÇ À§Çè¿¡ óÇÒ ¼ö ÀÖ´Ù¡±¸ç ÁÖÀǸ¦ ´çºÎÇß´Ù. |
Hit : 8505 Date : 2012/07/30 01:13
|
22019, 
1/1101 
U_SoRang
