안녕하세요.
이호스트데이터센터 IDC사업부 지게꾼입니다.
웹 해킹에서 자주 등장하는 기법이 SQL 인젝션인데, 위험 감소를 위한 실무사례를 전달도록 하겠으며, 본 하단의 내용은
KISA(한국인터넷진흥원)에서 발췌한 내용임을 밝혀드립니다.
개요
-
SQL 인젝션 공격은 발생한지 10년이 넘었으며 크고 작은 사고들로 인하여 이 공격의 심각성은 누구나
잘 알고 있고 이에 대한 묘책을 찾고 있지만 쉽게 알아내지 못하고 있음
- 기업이 완벽한 데이터베이스 애플리케이션 코드를 작성하더라도 여전히 관련 없는 써드파티 소프트-
웨어들로 인한 취약점으로 위험이 발생할 수 있기 때문
- 하지만 위험을 줄이기 위해 도움이 될만한 몇 가지 실무사례를 소개하고자 함
주요내용(SQL 인젝션 공격위험을 줄이기 위한 세 가지 실무사례)
-
첫 번째는 보유하고 있는 데이터베이스의 모든 목록을 파악하고 그것들과 애플리케이션의 접속내역을 이해
하는 것
- 많은 기업들이 보유하고 있는 데이터베이스를 모두 알고 있다 하더라도, 의도치 않게 네트워크상으로
공개될 수도 있음
- 이는 데이터베이스 자체의 문제가 아닌 네트워크 문제로 테스트 환경에서 실제 데이터 또는 연결을 사용
하고 테스트 이후 데이터를 삭제하지 않거나 연결을 끊지 않는 것이 경우가 하나의 예 -
두 번째는 지속적으로 애플리케이션과 데이터베이스를 모니터링하는 것
- 지속적인 모니터링은 진짜 SQL의 흐름을 파악하고 이와 반대되는 불량트래픽(SQL 인젝션 공격)을 알아
낼 수 있음 -
세 번째는 데이터 손실 방지 시스템으로 데이터베이스 네트워크를 보호하는 것
- 이를 통하여 네트워크상으로 보이지 말아야할 신용카드 정보들이 존재한다면, 관리자는 이를 문제점으로
빨리 인식하고 이에 대한 대응을 해야 함
'[IT 알아보기]' 카테고리의 다른 글
| EhostiDC. 웹 방화벽의 종류 및 기능에 대해 알아봅니다~ (0) | 2014.12.02 |
|---|---|
| EhostiDC. DDOS(디도스) 방어 서비스 본격 실시!! (0) | 2014.11.27 |
| [웹보안] 악성코드 및 사이트 탐지 통계 보고 및 분석 (0) | 2014.07.10 |
| IDC 상반기 웹보안위협 동향 보고서 (0) | 2014.07.07 |
| 서버임대 통합보안 DB보안전문으로 잘하는곳추천(이호스트IDC) (0) | 2014.06.30 |