SQL INJECTION - Prepared statement 환경에서의 취약점 진단

Prepared statement 환경에서의 취약점 진단

 

* 개요

https://sas-study.tistory.com/160

 

사용자 입력 값을 받은 뒤에, 즉 From 절

from board where tbname='

board라는 게시판 테이블 하나를 사용

하나의 테이블로 관리

-> 반드시 tbname 같은 이름으로 사용한다고 해서 반드시 테이블로 사용하는 것은 아님

-> from 절에 들어간다는 가정하에 테스트 시 where 절 사용, 데이터 사전을 건드는 방법

ex) jsp 사용 oracle

127.0.0.1:8888/security/example.jsp?tbname=all_tables 

 

example.jsp?tbname=ex_member%20where@201=2

 

where 절이 있을 경우 위 구문은 에러

 

그렇기 떄문에 뒤에 주석처리

 

example.jsp?tbname=ex_member%20where@201=2--

 

 

하지만,!!

 

prepared statement 상태일 경우 어떻게 되는가?

 

 

select * from ex_member where id = ?

select * from (select * from ex_member) where id = ?

select * from (select * from ex_member where 1=1) where id = ?

 

-> java 웹 환경에서 확률이 높음

 

테이블 파라미터에서 인젝션 발생!