안녕하세요 에버클럽입니다. 한참동안 못왔네요 최신버전의 아티보드를 패치 받으면 Injection 공격이 기본적인
것은 방어가 된다는 사실도 이제서야 확인 했습니다. 저 같은 경우는 게을러서 그동안 패치를 못하고 있었네요 ..
각설하고 제가 오늘 쓰고자 하는 부분은 요즘 많은분들이 실무에서 SQL Injection 공격을 받아 피해를 보고 있
습니다. 저역시 아무런 방어없이 놀다가 당하고 말았죠 ㅡㅡ;;;
위의 그림은 요즘 많이 당하고 있는 Mass SQL injection 입니다 대체적으로 Script ~ 시작해서 ~ Script 가 끝
나는 형식의 공격이죠 하나의 테이블이 아니라 모든 데이터베이스의 테이블에 입력이 되어 사람 곤란하죠??
여러가지 방법을 써 보았지만 text 형식으로 긴 문장의 경우 삭제가 안되어 Convert 을 이용해 Varchar(8000)
으로 변환할 경우 8000 을 넘는 경우.. 문장이 삭제되어 곤란함을 격었네요..
Mass SQL injection 이라고 네이버 또는 기타 다른 포털에서 검색하면 자세한 내용은 나올테구요 간단하게
방어법을 설명해 드리도록 하겠습니다.
1. 데이터베이스의 권한 삭제 (syscolumns, sys**s)
>
위의 그림처럼 권한을 삭제합니다. (임시방편일뿐 완벽한 방어는 아님을 알아주세요)
그림을 클릭하여 원본으로 보세요
2. 웹폼을 통한 값을 체크하여 허용되지 않는 문자를 체크합니다.
아티보드의 경우 Dbconnect 폴더에 Dbconnect.asp 파일 제일 상단위에 써주시면 됩니다.
Dim sql_pattern, item, array_counter, item_position1, item_position2
sql_pattern=Array("-",";","/*","*/","@@","@","char","nchar","varchar","nvarchar","alter","begin","cast","create","cursor","declare","dorp","end","exec","execute","fetch","insert","kill","open","select","sys","sys**s","syscolumns","table
번호 | 제목 | 닉네임 | 조회수 | 작성일 | |
---|---|---|---|---|---|
15 | Jquery 체크박스 사용법 | 최백호 | 2534 | 2011.11.25 | |
14 | jquery를 이용한 오른쪽 퀵메뉴 | 최백호 | 2790 | 2011.11.25 | |
Mass SQL Injection 의 대응법 [3] | 에버클럽 | 3463 | 2008.11.24 | ||
12 | Microsoft SQL Server 2000: 연결 문제 해결 방법 [2] | 웹아티 | 3313 | 2006.03.03 | |
11 | Microsoft® SQL Server® 2008 Express .. | 최백호 | 2559 | 2011.11.25 | |
10 | nmail을 사용하시면서 아팁보드에서 메일발송시 HTML형태로 발송이.. [1] | 김유진 | 2838 | 2007.05.12 | |
9 | SQL Express 버전에서의 OLEDB 연결 [3] | 이재원 | 5088 | 2009.11.16 | |
8 | SQL Injection 의 대응법 2탄 [프로그램 EXE] [4] | 최백호 | 4166 | 2008.11.27 | |
7 | SQL Server용 Microsoft OLE DB 공급자 error.. [2] | 웹아티 | 3149 | 2006.03.03 | |
6 | StrBoardId가 다른 갤러리게시판들 최신 6개 뽑아 스크롤링 시.. [3] | 조성범 | 3037 | 2007.06.14 | |
5 | TABS Upload 4.3 x86 - 4.0 x86 버전 입니다. .. | 최백호 | 3958 | 2011.12.20 | |
4 | UTF-8 <--> ANSI 상호 변환 프로그램 [3] | 최백호 | 2955 | 2008.11.14 | |
3 | Windows 2003 Server 설치 WINBBS 기본내용 총정리.. [1] | 박인영 | 3230 | 2007.12.03 | |
2 | windows server 2008 에서의 iis7에서 asp 작동시.. [1] | Skynote | 3057 | 2011.06.27 | |
1 | XP Pro에서 폴더별 권한 설정방법 [2] | 정기성 | 2889 | 2006.09.11 |
댓글 1