Hacking Tool을 이용한 SQL Injection 공격에 대한 방어 방법
Defence method against SQL injection attack by hacking tools
- 발행기관 서강대학교 정보통신대학원
- 지도교수 서정연
- 발행년도 2011
- 학위수여년월 2011. 8
- 학위명 석사
- 학과 및 전공 정보통신대학원 정보시스템보호
- 실제URI http://www.dcollection.net/handler/sogang/000000046981
- 본문언어 한국어
- 저작권 서강대학교의 논문은 저작권보호를 받습니다.
초록/요약
인터넷의 발전으로 인해 우리 삶의 패러다임은 많은 변화가 일어났으며, 누구나 쉽게 얻어지는 엄청난 양의 정보를 Web이라는 인터넷 공간에서 손쉽게 공유할 수 있게 되었다. 하지만 다양한 보안상의 문제점들이 발생하며 그에 따른 피해는 점점 더욱 늘어나고 있다. 특히, OWASP에서 제안한 10대 취약점들이 많은 문제가 되고 있으며, 취약점의 중요성이‘일반적인 상위 10가지에서 ‘가장 위험한 위험 상위 10 가지’로 위험성이 높아질 정도로 중요한 문제가 되고 있다. SQL INJECTION 공격으로 인한 취약점 공격은 가장 널리 알려져 있고 누구나 쉽게 사용할 수 있는 공격방법이다. SQL INJECTION 공격으로 인해서 공격자가 얻을 수 있는 효과들은 다양하다. 불법적인 인증을 통해서 시스템과 데이터베이스에 불법적인 접근과 권한을 취득해서 데이터 베이스에 대한 정보를 수정, 삭제, 변형 시킬 수 있다. 한국인터넷 진흥원에서도 SQL INJECTION 에 대한 지침과 대응 방법에 대해서 자세하게 기술하고 있다. 대표적인 웹 방화벽인 윈도우 기반의 WebKnight와 리눅스 기반의 Modsecurity에 대한 소개를 자세히 다루고 있으며 SQL Injection 공격에 대한 지침 방법에 대해서도 자세히 기술하고 있다. 본 논문에서는 가장 널리 사용하고 있는 공격 기법들을 구현해 보고 한국인터넷 진흥원 및 OWASP에서 권장하는 보안해킹 방어기법들을 통해서 SQL Injection 공격에 대한 방어와 본 논문이 제안하는 블랙리스트 검증을 통한 Hacking Block 코드와 코드레벨에서의 매개변수SQL문에 의한 SQL Injection 공격의 대응법에 대해서 설명 하고자 한다. 본 논문에서 제안하는 방법과 기존에 사용되고 있는 공개웹 방화벽이 병행되어 사용할 경우 효과적인 방어가 가능할 것이다.
more초록/요약
Lots of change came over in the paradigm of our lives due to the growth of the Internet Huge amount information which is obtained easily could be shared easily in the Internet space called Web. However, diverse security problems were occurred and subsequent damages are increased more and more. Especially, Top ten vulnerabilities proposed by OWASP become serious problems. The importance of vulnerability has become an important issue that risks are goes high from the 'general top 10s' to the "most dangerous risk top 10s' Vulnerability attack caused by SQL Injection attack is most generally known and easy to use attack method for everyone. The effects which Attackers can gain are diverse due to the SQL Injection attack. Information about the database, can be edited, deleted, and modified by the illegal access and gain the control of system and database through the Illegal authentication. In the Korea Information Security Agency(KISA) describes the Guidelines and response instruction of the SQL Injection in detail. Also introduction of the typical Web firewall Windows-based Webknight and Linux-based Modsecurity and guidelines of SQL Injection attacks are also covered in detail. In this thesis, the most widely used attack method implements, and explains about Recommended security hacking defense techniques by KISA and OWASP, defense of SQL Injection attack, response instruction of SQL Injection attack in code level. If the method proposed in this thesis is used with public web firewall, we can effectively defence the SQL Injection attack.
more