IT 그리고 정보보안/Knowledge base

SQL Injection 기초

plummmm 2021. 4. 16. 04:52
반응형

SQL 인젝션은 쿼리문을 조작하여 적절한 인증 과정을 거치지 않고 DB의 내용 열람, 수정, 삭제 등의 악의적인 행위를 하는 웹 어플리케이션 취약점 중 가장 위험한 취약점이다.

 

보통 웹 어플리케이션들은 PHP나 ASP 같은 서버측 스크립트 소스 코드에 DB에 관련된 쿼리 제어문을 코딩한다.

뭐 이런 식으로..

 

 

그럼 우리가 "쿼리문을 조작"한다는 말은, 미리 코딩되어 있는 쿼리문에서 우리가 입력하는 파라미터를 받아서

작업을 처리하는 부분이 있을거 아닌가.  그 부분에서 적절하게 장난을 쳐서 우회를 한다 이말이다.

 

저번 포스팅에서 말한 'or 1=1' 붙인 것이 바로 그런 예이다. 실제로 저렇게 쉬운건 안먹힌다.

하지만 모르고 더 어려운 내용을 하는건 불가능하기 때문에, 기초부터 차근차근 알아보자.

SQL 인젝션을 배우고 나면 웹 사이트에서 로그인 할 때 마다 괜히 특수문자를 찍어보고 싶게 되는데.. 

잘 참아야 한다. (철컹철컹)

 

그럼 SQL Injection의 동작 원리에 대해 한번 알아보자.

 

먼저 동작 구문 생성이다.

개발자는 어플리케이션 개발 시에 sql 구문을 동적으로 생성한다.

무슨 말이냐면.. 쿼리문에 들어가는 파라미터 값이 계속 변동되어 여러가지 요청에 유연하게 작업처리를 한다는 말이다.

이래서 조작, 변조가 일어나는 것이다. 쿼리문을 넘기기전에 코드에 대한 검증 이나 인코딩이 없으면 sql 인젝션에 노출된다.

 

다음은 부적절한 특수 문자 처리이다.

싱글쿼터(')는 코드와 데이터를 구분하는 식별자로 사용된다.

흔히 sql인젝션 취약점 검증할 때 싱글쿼터를 한번 넣어보고 취약한지 취약하지 않은지 판단한다.

보통 이런 에러메세지가 뜬다.

 

Warning: mysql_fetch_assoc() : supplied argument is not a valid MySQL result resource

 

또는

 

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the

right syntax to use near ''VALUE''

 

이렇게 에러가 발생하는 이유는 싱글쿼터가 입력값의 데이터로 해석되었기 때문이다.

물론 싱글쿼터만으로 발생하는 것은 아니다. ||(더블 파이프) ,(콤마) .(마침표) */(주석처리) "(더블쿼터) 등을 특수문자로 인식한다.

 

 

다음 잘못된 유형 처리 이다.

위의 부적절한 특수 문자 처리만 보면, 싱글 쿼터 같은 특수문자에 대한 입력값 검증을 하면 

인젝션을 막을 수 있을거라 생각할 수도 있다.

당연히 어림없다. 이런 마인드가 가장 위험하다.

MySQL 에서 파일을 읽어 문자열로 반화하는 LOAD_FILE() 같은 함수를 인젝션에 이용한다면

특수문자 없이 웹 서버에 위해를 가할 수 있다.

 

다음 네 번째 부적절한 에러 처리이다.

이건 제목만 봐도 알 수 있는 말이다. 입력값에 대한 적절한 에러 처리를 하지 않아서, 에러메세지에 서버의 정보가 노출되어

취약점에 관한 중요한 단서로 이용되는 경우다.

 

마지막 부적절한 중복요청 처리이다.

개발자는 으레 사용자가 자신이 개발해 놓은 논리 과정을 따라 오길 원한다.

정해진 데이터 흐름, 예를 들어 1번 폼을 완료하고 2번 폼, 3번 폼을 완료할 거라고 예상하고

개발자는 1번, 2번에서만 입력값 검증 코드를 작성한다. 근데 1,2번에 올바른 폼을 작성하고

3번에 입력값을 조작한다면 공격이 일어날 것이다.

 

SQL Injection을 이용한 인증 우회

SQLi 의 가장 기본적인 예는 인증 우회이다.

인증 우회?? 말그대로 아이디 패스워드를 똑띠 안치고 인증 메커니즘을 우회하여 권한 상승을 이룬다는 말.

앞전에 설명했듯이 동적으로 파라미터를 받아 쿼리문을 전송하기에 가능한 공격이다.

 

ASP 예시 코드를 한번 보자.

 

<%

SQL = "SELECT id, pwd FROM users WHERE usrid = '"

& Request.Form("username" & "' AND pwd = '"

& Request.Form("password") & "' "

Set RS = Conn.Execute(SQL);

%>

 

딱히 설명 필요 없이 그냥 로그인 인증 코드이다.

만약 사용자의 아이디가 apple 이고 비밀번호가 samsung 이라면

MS-SQL에 쿼리문이 이런식으로 날아갈 것이다. (코드 참조)

 

SELECT id, pwd FROM users WEHRE id='apple' AND pwd='samsung'

 

저런 아이디가 있다면 로그인 인증 과정을 통과하겠지만.. 당연히 우리는 인증 우회를 한다.

관리자 계정이 admin이라고 가정하자. 

( 여러가지가 있을 수 있다. admin, administrator, root 등등.. 이건 추측하거나 누출된 정보들을 통해 유추할 수 있다.)

 

id= 'admin'

pwd= aa' or '1'='1

 

이라고 입력해보자. 무슨일이 일어날까요

이렇게 입력하면 쿼리문이 요런 식으로 날아갈 것이다.

 

SELECT id, pwd FROM users WEHRE id='admin' AND pwd='aa' or '1'='1'

 

저렇게 되면 pwd의 값이 올바르게 입력되지 않아도 뒤에 or 연산에 1=1(참) 이 대입되면 

(거짓) or (참) -> (참)

이렇게 되면서 인증 우회가 되는 것이다.

 

주의할점! 이 있는데,

위에 적힌 쿼리문이 항상 일치하는게 아니다.

웹 어플리케이션에서 개발자가 어떤식으로 쿼리문이 넘어가도록 코딩을 해두었는지 우리가 공격자 입장에서 보면

알 길이 없다. 그러므로 여러번 쿼터 위치, 갯수를 바꾸어 가면서 예측해보아야 한다.

또한 DB 종류에 따라서 쿼리문이 조금씩 다르므로.. 계쏙 집어넣어봐야한다.

 

DB 종류별로 특징들은 나중에 정리해드림.

 

인증 우회의 원리는 그냥 이거다. 쿼리문에 논리연산자를 이용하여 우회하는 방법

근데 솔직히 이거 아무곳에도 안먹힌다 요새.

 

쿼리문의 문자열을 ' ' 나 " " 로 덮어서 전달하니까, 쿼터나 더블 쿼터만 막아버리면 공격을 못하게 되는 것.

하지만 모든 웹사이트들이 이에 대비한 것은 아니므로

SQL Injection 점검할 때 일단 쿼터나 더블 쿼터부터 집어넣어보면 된다. 1' 1" 이런식으로.

(아무 웹사이트에다가 생각없이 하면 철컹철컹)

 

또 하나 더 하자면.. MS-SQL 에서 더블대쉬 (--) 는 주석문을 처리할 때 사용하는 연산자이다.

이걸.. id 파라미터 뒤에 작성하면 패스워드 처리 부분은 주석처리 되버린다.

인증할 필요가 없어진다 이것임.

 

SELECT id, pwd FROM users WEHRE id='admin';-- AND pwd='1'

 

이렇게 쿼리문을 넘겨버리면 바로 인증됨..

주석 처리된 뒷부분은 더이상 파라미터를 받는게 아닌 그냥 주석.

 

이건 솔직히 미적분을 공부하기 위한 구구단 외우기 정도의 수준인데.

이걸 읽고 잠자기 전에 잘 생각해보시라.

요것으로 어떻게 응용하면 더 멋진 공격을 할 수 있는지??

 

멋진 공격법을 상상하면 방어법은 자동으로 나오니.~~

 

ps. 아 혹시 테스트 해보고 싶다면 http://demo.testfire.net/ 요기로 드가서 해보시길.

반응형

'IT 그리고 정보보안 > Knowledge base' 카테고리의 다른 글

블루투스 (Bluetooth) 기본 개념  (0) 2021.04.16
안전행정부 시큐어코딩 43개 기준  (0) 2021.04.16
CWE/SANS TOP 25  (0) 2021.04.16
OWASP top 10  (0) 2021.04.16
SQL (Structured Query Language)  (0) 2021.04.16