제작된 웹 어플리케이션이 고객에게 나갈 시 별도의 웹 공격 방어 도구를 무료로 탑재하고 있습니다.
당연히 이해관계가 있는 사람들끼리는 좋아할리가 없죠. 알아주지도 않는데 이런걸 무료로 한다고하니 ㅎㅎ 하지만 저는 강행중이랍니다. ^^;; (취미보안의 한계... 이걸로 돈받을 수 없다는거 ㅠㅠ)
사실 SQL 인젝션 공격은 그 기본 개념이 그리 어렵지는 않기 때문에 배우고나서 쉽네 하실 수 있지만 그렇게 쉽게 물러날 공격자들이 아닙니다.
공격자들은 무력화시키는 코드가 들어가면 그걸 다시 무력화시킬 수 있는 방법을 고안하지요. 운영중인 서버에서 로그를 가져왔습니다. 그 로그를 함께 살펴보시겠습니다.
뜻은 몰라도 좋습니다. 단지 무언가가 엄청 길게 적혀있다는 것만 느끼시면 됩니다.
[SQL 인젝션 사례 로그 3건]
[동적 프로그래밍 인젝션 1건]
아 뭔가 웅장해보입니다~~ ㄷㄷ
최근 SQL 공격은 상당히 긴 구문을 보이는데, 이것은 SQL 인젝션의 치환 단계를 무력화시키기 위해 모든 컴퓨터 문자는 결국 바이너리(이진)이라는 약점을 이용하여 지수나 문자코드를 사용하여 우회하는 것입니다.
동적 프로그래밍 공격은... 설명하기에는 길다보니 저런것도 있구나~ 보시면 됩니다.
이상 간단한 체험하기(?)라기 보다는 살펴보기였습니다. |
|
|