SECURITY CH4
SQL Injection 유형
SQL Injection은 입력값이 SQL 구조에 섞여 조건, 조회, 오류, 시간 반응을 공격에 이용하는 취약점입니다.
인증 우회형
로그인 조건절을 조작해 비밀번호 검증을 우회
항상 참 조건
오류 기반
DB 오류 메시지로 테이블명과 컬럼명을 추정
오류 노출
Union 기반
다른 SELECT 결과를 결합해 민감 정보를 조회
결과 결합
Blind 계열
화면 결과 없이 참거짓이나 지연 시간으로 추론
반응 분석
Account
인증 우회
비밀번호를 몰라도 로그인 처리될 수 있습니다.
Data
정보 유출과 변조
회원정보 조회, 금액 변경, 데이터 삭제로 이어집니다.
Service
장애 확대
DB 부하와 권한 과다 설정이 피해 범위를 키웁니다.