KR102497201B1 - Sql 주입 취약점 진단 방법, 장치 및 컴퓨터 프로그램 - Google Patents

Sql 주입 취약점 진단 방법, 장치 및 컴퓨터 프로그램 Download PDF

Info

Publication number
KR102497201B1
KR102497201B1 KR1020200126208A KR20200126208A KR102497201B1 KR 102497201 B1 KR102497201 B1 KR 102497201B1 KR 1020200126208 A KR1020200126208 A KR 1020200126208A KR 20200126208 A KR20200126208 A KR 20200126208A KR 102497201 B1 KR102497201 B1 KR 102497201B1
Authority
KR
South Korea
Prior art keywords
vulnerability
sql injection
error
response data
diagnosing
Prior art date
Application number
KR1020200126208A
Other languages
English (en)
Other versions
KR20220042859A (ko
Inventor
강봉구
이민섭
장원태
안준
윤지환
Original Assignee
네이버클라우드 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 네이버클라우드 주식회사 filed Critical 네이버클라우드 주식회사
Priority to KR1020200126208A priority Critical patent/KR102497201B1/ko
Publication of KR20220042859A publication Critical patent/KR20220042859A/ko
Application granted granted Critical
Publication of KR102497201B1 publication Critical patent/KR102497201B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 SQL 삽입 취약점 진단 방법, 장치 및 컴퓨터 프로그램에 관한 것으로서, 보다 구체적으로는, 제1 웹사이트에 대한 SQL 삽입(SQL injection) 취약점을 진단하는 방법에 있어서, SQL 삽입 취약점 진단 장치가, 상기 제1 웹사이트의 진단 대상 URL에서 파라미터(parameter) 변수명과 변수값을 산출하는 파라미터 산출 단계; 상기 진단 대상 URL에 대하여 에러를 유발할 수 있는 제1 구문을 사용해 변조하여 요청(request)하고 그에 따른 에러 문구를 기초로 SQL 삽입 취약점 여부를 판단하는 제1 취약점 여부 판단 단계; 및 상기 진단 대상 URL에 대하여 상기 파라미터(parameter)의 변수명의 종류를 고려하여 제2 구문을 사용해 변조하여 요청(request)하고 그에 따른 응답(response) 데이터를 기초로 SQL 삽입 취약점 여부를 판단하는 제2 취약점 여부 판단 단계;를 포함하는 것을 특징으로 하는 SQL 삽입 취약점 진단 방법을 개시한다.

Description

SQL 주입 취약점 진단 방법, 장치 및 컴퓨터 프로그램{Method, apparatus and computer program for diagnosing SQL injection vulnerability}
본 발명은 SQL 주입 취약점을 진단하는 방법, 장치 및 컴퓨터 프로그램에 관한 것으로서, 보다 구체적으로는 최적화된 쿼리를 구성하여 다수의 쿼리에 의한 과도한 네트워크 부하를 방지하고 나아가 웹 서버의 처리 지연 또는 처리 불능 상태를 방지하면서 SQL 주입 취약점을 효과적으로 진단할 수 있는 SQL 주입 취약점 진단 방법, 장치 및 컴퓨터 프로그램에 관한 것이다.
이와 같은 웹 기반 서비스의 발전은 사용자에게 보다 많은 편익을 제공하고 있으나, 이와 함께 상기 웹 기반 서비스에 대한 공격도 꾸준히 증가하고 있다.
웹 기반 서비스에 대한 다양한 공격 유형 중 하나로서 SQL 주입 취약점을 이용한 공격 기법을 들 수 있다.
SQL 주입 취약점은 웹 어플리케이션에서 사용되는 SQL(Structured Query Language) 구문에 공격자가 임의의 구문을 주입(injection)하여 웹 서버 내부 데이터베이스의 데이터를 유출하거나 변조할 수 있는 취약점이다. 상기 SQL 주입 취약점을 진단하기 위해서는 웹사이트의 URL(Uniform Resource Locator)에 존재하는 파라미터에 변조된 SQL 구문을 입력하여 웹서버 관리자가 지정한 쿼리가 실행되지 않고 변조된 쿼리가 실행되면서 잘못된 처리가 수행되는지 확인하는 방식으로 이루어진다.
이러한 SQL 주입 취약점 진단을 위하여, 종래에는 크게 두가지 방식으로 진단이 이루어졌다. 우선, 첫번째는 URL 파라미터에 SQL 주입 공격 문구를 주입하고 웹페이지에서 출력되는 데이터베이스의 에러 문구로 취약점을 진단하는 방법이다.
그런데, 위와 같은 방법에서는 여러 공격 쿼리 문구를 무작위로 주입하면서 테스트를 수행하게 되는데, 이로 인하여 다수의 공격 쿼리가 사용되면서 네트워크 I/O가 크게 증가할 수 있다는 단점이 따랐다.
또한, 두번째 방법으로는 웹페이지의 에러 문구가 노출되지 않는 상황에서 사용할 수 있는 블라인드(blind) SQL 주입 방식으로서, 웹페이지 출력을 비교하는게 아니라 SQL의 sleep 등 함수를 이용하여 상기 함수가 수행되었는지 확인하여 SQL 주입 취약점을 판단하는 방법이다.
그런데, 이러한 경우에는 공격 쿼리가 웹 페이지의 지연을 초래하면서 웹 서버의 응답이 느려지거나 심할 경우 웹 서버가 멈추는 문제까지 발생할 수 있었다.
이에 따라, SQL 주입 취약점을 진단함에 있어 다수의 공격 쿼리가 사용되면서 네트워크 I/O가 크게 증가하는 문제를 방지할 수 있으며, 또한 공격 쿼리로 인하여 웹 서버의 응답이 느려지거나 심할 경우 멈출 수도 있는 문제를 해결할 수 있는 방안이 요구되고 있으나, 아직 이에 대한 효과적인 해결 방안이 제시되지는 못하고 있다.
대한민국 등록특허 제10-1949338호(2019년 2월 18일 공고)
본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위해 창안된 것으로, SQL 주입 취약점을 진단함에 있어 다수의 공격 쿼리가 사용되면서 네트워크 부하가 크게 증가하는 문제를 방지할 수 있는 SQL 주입 취약점 진단 방법, 장치 및 컴퓨터 프로그램을 제공하는 것을 목적으로 한다.
또한, 본 발명은 상기 SQL 주입 취약점 진단에서 공격 쿼리로 인하여 웹 서버의 응답이 느려지거나 심할 경우 멈출 수도 있는 문제도 해결할 수 있는 SQL 주입 취약점 진단 방법, 장치 및 컴퓨터 프로그램을 제공하는 것을 목적으로 한다.
그 외 본 발명의 세부적인 목적은 이하에 기재되는 구체적인 내용을 통하여 이 기술 분야의 전문가나 연구자에게 자명하게 파악되고 이해될 것이다.
상기 과제를 해결하기 위한 본 발명의 한 측면에 따른 SQL 삽입 취약점 진단 방법은, 제1 웹사이트에 대한 SQL 삽입(SQL injection) 취약점을 진단하는 방법에 있어서, SQL 삽입 취약점 진단 장치가, 상기 제1 웹사이트의 진단 대상 URL에서 파라미터(parameter) 변수명과 변수값을 산출하는 파라미터 산출 단계; 상기 진단 대상 URL에 대하여 에러를 유발할 수 있는 제1 구문을 사용해 변조하여 요청(request)하고 그에 따른 에러 문구를 기초로 SQL 삽입 취약점 여부를 판단하는 제1 취약점 여부 판단 단계; 및 상기 진단 대상 URL에 대하여 상기 파라미터(parameter)의 변수명의 종류를 고려하여 제2 구문을 사용해 변조하여 요청(request)하고 그에 따른 응답(response) 데이터를 기초로 SQL 삽입 취약점 여부를 판단하는 제2 취약점 여부 판단 단계;를 포함하는 것을 특징으로 한다.
또한, 본 발명의 다른 측면에 따른 컴퓨터 프로그램은 상기 기재된 SQL 삽입 취약점 진단 방법의 각 단계를 컴퓨터에서 실행시키기 위한 컴퓨터로 판독 가능한 매체에 저장된 컴퓨터 프로그램인 것을 특징으로 한다.
또한, 본 발명의 또 다른 측면에 따른 SQL 삽입 취약점 진단 장치는, 제1 웹사이트에 대한 SQL 삽입(SQL injection) 취약점을 진단하는 장치에 있어서, 상기 제1 웹사이트의 진단 대상 URL에서 파라미터(parameter) 변수명과 변수값을 산출하는 파라미터 산출부; 상기 진단 대상 URL에 대하여 에러를 유발할 수 있는 제1 구문을 사용해 변조하여 요청(request)하고 그에 따른 에러 문구를 기초로 SQL 삽입 취약점 여부를 판단하는 제1 취약점 여부 판단부; 및 상기 진단 대상 URL에 대하여 상기 파라미터(parameter)의 변수명의 종류를 고려하여 제2 구문을 사용해 변조하여 요청(request)하고 그에 따른 응답(response) 데이터를 기초로 SQL 삽입 취약점 여부를 판단하는 제2 취약점 여부 판단부;를 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법, 장치 및 컴퓨터 프로그램에서는, SQL 주입 취약점을 진단함에 있어 다수의 공격 쿼리가 사용되면서 네트워크 부하가 크게 증가하는 문제를 방지할 수 있게 된다.
또한, 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법, 장치 및 컴퓨터 프로그램에서는, 상기 SQL 주입 취약점 진단 과정에서 공격 쿼리로 인하여 웹 서버의 응답이 느려지거나 심할 경우 멈출 수도 있는 문제도 효과적으로 개선할 수 있게 된다.
본 발명에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부도면은 본 발명에 대한 실시예를 제공하고, 상세한 설명과 함께 본 발명의 기술적 사상을 설명한다.
도 1은 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 시스템의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법의 순서도이다.
도 3은 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법에서 파라미터의 변수명 및 변수값을 식별하고 변조하는 과정을 설명하는 도면이다.
도 4는 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법의 구체적인 순서도이다.
도 5는 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법에서 제1 취약점 여부 판단 단계(S120)의 구체화된 순서도를 예시하는 도면이다.
도 6은 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법에서 제2 취약점 여부 판단 단계(S130)의 구체화된 순서도를 예시하는 도면이다.
도 7 내지 도 9는 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법에서 상기 제2 취약점 여부 판단 단계(S130)에 대한 보다 구체적인 순서도이다.
도 10은 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 장치의 구성도이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 이하에서는 특정 실시예들을 첨부된 도면을 기초로 상세히 설명하고자 한다.
이하의 실시예는 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시 예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
또한, 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되는 것은 아니며, 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
이하에서는, 본 발명에 따른 SQL 삽입 취약점 진단 방법, 장치 및 컴퓨터 프로그램의 예시적인 실시형태들을 첨부된 도면을 참조하여 상세히 설명한다.
먼저, 도 1에서는 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 시스템(100)의 구성도를 보여주고 있다. 도 1에서 볼 수 있는 바와 같이, 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 시스템(100)은 통신 네트워크(130)를 통해 연결된 장치로 웹 서비스를 제공하는 하나 이상의 웹 서버(120)와, 상기 웹 서버(120)에서 웹 서비스 등을 위하여 구동되는 데이터베이스의 데이터 유출, 변조를 초래할 수 있는 SQL 삽입 취약점을 진단하는 SQL 삽입 취약점 진단 장치(110)를 포함하여 구성될 수 있다.
이때, 상기 SQL 삽입 취약점 진단 장치(110)는 서버를 이용하여 구현될 수도 있으나, 본 발명이 반드시 이에 한정되는 것은 아니며, SQL 삽입 취약점 진단을 위한 별도의 장치로 구현하거나, 나아가 스마트폰, 태블릿 PC, PDA, 휴대전화 등 휴대 단말기나 개인용 컴퓨터(PC) 등의 유무선 단말기에서 구동되는 어플리케이션 등으로 구현되는 등 다양한 형태로 구현될 수 있다.
또한, 상기 웹 서버(120)도 서버를 이용하여 구현될 수도 있으나, 본 발명이 반드시 이에 한정되는 것은 아니며, 웹 서비스 제공을 위한 별도의 장치로 구현되거나, 나아가 스마트폰, 태블릿 PC, PDA, 휴대전화 등 휴대 단말기나 개인용 컴퓨터(PC) 등의 유무선 단말기에서 구동되는 어플리케이션 등으로 구현될 수도 있다.
나아가, 상기 SQL 삽입 취약점 진단 장치(110)와 웹 서버(120)를 연결하는 통신 네트워크(130)로서는 유선 네트워크와 무선 네트워크를 포함할 수 있으며, 구체적으로, 근거리 통신망 (LAN: Local Area Network), 도시권 통신망 (MAN: Metropolitan Area Network), 광역 통신망 (WAN: Wide Area Network) 등의 다양한 통신망을 포함할 수 있다. 또한, 상기 통신 네트워크(130)는 공지의 월드 와이드 웹(WWW: World Wide Web)을 포함할 수도 있다. 그러나, 본 발명에 따른 통신 네트워크(130)는 상기 열거된 네트워크에 국한되지 않고, 공지의 무선 데이터 네트워크나 공지의 전화 네트워크 또는 공지의 유무선 텔레비전 네트워크를 적어도 일부로 포함할 수도 있다.
도 2에서는 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법의 순서도를 도시하고 있다. 도 2에서 볼 수 있는 바와 같이, 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법은, 제1 웹사이트에 대한 SQL 삽입(SQL injection) 취약점을 진단하는 방법에 있어서, SQL 삽입 취약점 진단 장치(110)가 상기 제1 웹사이트의 진단 대상 URL에서 파라미터(parameter) 변수명과 변수값을 산출하는 파라미터 산출 단계(S110), 상기 진단 대상 URL에 대하여 에러를 유발할 수 있는 제1 구문을 사용해 변조하여 요청(request)하고 그에 따른 에러 문구를 기초로 SQL 삽입 취약점 여부를 판단하는 제1 취약점 여부 판단 단계(S120) 및 상기 진단 대상 URL에 대하여 상기 파라미터(parameter)의 변수명의 종류를 고려하여 제2 구문을 사용해 변조하여 요청(request)하고 그에 따른 응답(response) 데이터를 기초로 SQL 삽입 취약점 여부를 판단하는 제2 취약점 여부 판단 단계(S130)를 포함할 수 있다.
이에 따라, 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법, 장치 및 컴퓨터 프로그램에서는, SQL 주입 취약점을 진단함에 있어 다수의 공격 쿼리가 사용되면서 상기 통신 네트워크(130)의 부하가 크게 증가하는 문제를 방지할 수 있으며, 나아가 상기 SQL 주입 취약점 진단에서 공격 쿼리로 인하여 웹 서버(120)의 응답이 느려지거나 심할 경우 멈출 수도 있는 문제도 해결할 수 있게 된다.
아래에서는 도 2를 참조하여 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법을 각 단계별로 나누어 자세하게 검토한다.
먼저, 상기 파라미터 산출 단계(S110)에서는, 상기 SQL 삽입 취약점 진단 장치(110)가 상기 제1 웹사이트의 진단 대상 URL(Uniform Resource Locator )에서 파라미터(parameter) 변수명과 변수값을 산출하게 된다.
즉, 본 발명에서 상기 SQL 삽입 취약점 진단 장치(110)는 진단하고자 하는 제1 웹사이트의 진단 대상 URL에 포함되는 하나 이상의 파라미터(parameter)의 변수명과 변수값을 산출하게 된다.
이때, 상기 진단 대상 URL은 상기 SQL 삽입 취약점 진단 장치(110)가 상기 제1 웹사이트의 웹페이지를 파싱(parsing)하는 등의 방법으로 산출할 수도 있으나, 본 발명이 반드시 이에 한정되는 것은 아니며, 진단자로부터 직접 상기 진단 대상 URL을 입력받거나 미리 작성된 URL 목록 파일 등을 이용하여 상기 진단 대상 URL을 산출하는 등 다양한 방법으로 상기 진단 대상 URL을 산출할 수 있다.
이와 관련하여, 도 3에서는 상기 진단 대상 URL에서 파라미터의 변수명과 변수값을 산출하는 과정을 예시하고 있다.
보다 구체적으로, 도 3에서 볼 수 있는 바와 같이, 상기 진단 대상 URL에는 파라미터의 변수명과 변수값이 포함될 수 있다(도 3(a)의 310).
이에 대하여, 상기 SQL 삽입 취약점 진단 장치(110)는 상기 진단 대상 URL을 파싱(parsing)하여 상기 파라미터의 변수명과 변수값을 산출하여 저장할 수 있다(도 3(b)의 320a, 320b).
이때, 본 발명에서 상기 진단 대상 URL에 상기 파라미터의 변수명과 변수값이 존재하지 않는 경우에는, 상기 진단 대상 URL에 대한 SQL 삽입 취약점 진단 과정을 종료할 수 있다.
또한, 도 3에서는 진단 대상 URL에 파라미터의 변수명과 변수값이 존재하는지 여부를 판단하는 경우를 예시하고 있으나, 본 발명에서는 여기에 포스트 본문 데이터(POST body)가 존재하는지 여부를 판단하는 경우를 포함하는 것으로 본다.
보다 구체적으로, 상기 파라미터 산출 단계(S110)는, 상기 진단 대상 URL에서 파라미터(parameter) 영역을 식별하는 파라미터 영역 식별 단계, 및 상기 파라미터 영역을 파싱하여 상기 파라미터(parameter) 변수명과 변수값을 산출하는 파라미과정을 통해 상기 진단 대상 URL에서 파라미터의 변수명과 변수값을 산출하는 파라미터 파싱 단계를 포함할 수 있다.
이에 따라, 상기 SQL 삽입 취약점 진단 장치(110)는 상기 진단 대상 URL에서 파라미터(parameter) 영역을 식별한 후(도 3(a)의 310), 상기 파라미터 영역에 대한 파싱(parsing) 등을 통해 하나 이상의 파라미터 변수명과 변수값을 산출하게 된다(도 3(b)의 320a, 320b).
나아가, 본 발명에서는, 상기 진단 대상 URL에 둘 이상 복수의 파라미터 영역이 존재하는 경우, 상기 SQL 삽입 취약점 진단 장치(110)는, 상기 복수의 파라미터 영역을 각각 식별할 수 있으며, 또한 상기 복수의 파라미터 영역을 각각 파싱하여, 상기 복수의 파라미터의 변수명과 변수값을 각각 산출하여 저장할 수도 있다.
이어서, 상기 제1 취약점 여부 판단 단계(S120)에서, 상기 SQL 삽입 취약점 진단 장치(110)는 상기 진단 대상 URL에 대하여 에러를 유발할 수 있는 제1 구문을 사용해 변조하여 요청(request)하고 그에 따른 에러 문구를 기초로 SQL 삽입 취약점 여부를 판단하게 된다.
이때, 상기 제1 취약점 여부 판단 단계(S120)에서, 상기 제1 구문에는 SQL에서 문자열을 빠져나올 수 있는 제1 특수 문자와 문자열을 주석 처리할 수 있는 제2 특수 문자가 포함될 수 있다.
보다 구체적으로, 상기 SQL에서 문자열을 빠져나올 수 있는 제1 특수 문자로서 인용 부호나 괄호, 역슬래시[예를 들어, ', ", (, \] 등이 사용될 수 있으나, 본 발명이 이에 한정되는 것은 아니며, 이외에도 SQL에서 문자열을 빠져나갈 수 있는 다른 특수 문자를 사용하는 것도 가능하다.
또한, 상기 SQL에서 문자열을 주석 처리할 수 있는 제2 특수 문자로서 "--"나 "/*" 등이 사용될 수 있으나, 본 발명이 이에 한정되는 것은 아니며, 이외에도 SQL에서 문자열을 주석 처리할 수 있는 다른 특수 문자를 사용하는 것도 가능하다.
나아가, 상기 제1 취약점 여부 판단 단계(S120)에서, 상기 제1 특수 문자와 상기 제2 특수 문자의 두가지 타입의 특수 문자들을 하나의 문자열로 연결하여 상기 제1 구문을 구성하고, 도 3(c)에서 볼 수 있는 바와 같이 상기 진단 대상 URL의 상기 변수값에 후속하여 상기 제1 구문이 삽입되어 변조될 수 있다(도 3(c)의 330).
따라서, 상기 제1 구문에는 상기 SQL에서 문자열을 빠져나올 수 있는 제1 특수 문자와 문자열을 주석 처리할 수 있는 제2 특수 문자가 포함되어 진단 대상 URL에 대하여 에러를 유발할 수 있으며, 이에 따라 상기 제1 취약점 여부 판단 단계(S120)에서는 상기 제1 구문을 사용해 상기 진단 대상 URL을 변조하여 요청(request)하고 그에 따른 에러 문구를 기초로 과도한 네트워크 부하를 유발하지 않고도 효과적으로 SQL 삽입 취약점 여부를 판단할 수 있게 된다.
이어서, 상기 제2 취약점 여부 판단 단계(S130)에서는, 상기 진단 대상 URL에 대하여 상기 파라미터(parameter)의 변수명의 종류를 고려하여 제2 구문을 사용해 변조하여 요청(request)하고 그에 따른 응답(response) 데이터를 기초로 SQL 삽입 취약점 여부를 판단하게 된다.
보다 구체적으로, 상기 제2 취약점 여부 판단 단계(S130)에서는, 상기 진단 대상 URL에 대하여 상기 파라미터(parameter)에 정렬(sorting)과 관련된 변수명(예를 들어, 변수명이 asc, desc, order 인 경우 등)이 존재하는지, 상기 파라미터의 변수값이 숫자인 경우(예를 들어, no=20 등) 가 있는지 여부를 판단하고, 상기 각 파라미터의 특징에 따른 서로 다른 제2 구문을 사용해 상기 진단 대상 URL을 변조하여 SQL 삽입 취약점 여부를 판단하게 된다.
이때, 본 발명에서는 상기 제2 구문에는 drop이나 sleep 등과 같이 상기 웹 서버(120)에서 데이터베이스(DB)의 동작에 영향을 줄 수 있는 SQL 문구는 사용하지 않는 것이 바람직하다.
보다 구체적으로, 상기 제2 취약점 여부 판단 단계(S130)는, 상기 진단 대상 URL의 파라미터(parameter)에 정렬과 관련된 변수명이 존재하는 경우, 상기 변수명에 대한 변수값을 SQL 쿼리 결과 에러가 발생하도록 하는 상기 제2 구문을 사용해 변조하여 요청(request)하고, 그에 따른 제1 오류 응답(response) 데이터(=error_1)를 기초로 SQL 삽입 취약점 여부를 판단하는 단계를 포함할 수 있다.
또한, 상기 제2 취약점 여부 판단 단계(S130)는, 상기 진단 대상 URL에서 상기 변수명에 대한 변수값을 상기 진단 대상 URL과 동일한 결과가 나오도록 하는 제3 구문을 사용해 변조하여 요청(request)하고, 그에 따른 제1 취약 응답(response) 데이터(=vuln_1)가 상기 제1 오류 응답 데이터(=error_1)와 상이하면 상기 제1 웹사이트가 취약하다고 판단하는 단계를 포함할 수도 있다.
나아가, 상기 제2 취약점 여부 판단 단계(S130)는, 상기 진단 대상 URL의 요청(request)에 대한 제1 원본 응답 데이터(=origin_1)가 상기 제1 취약 응답(response) 데이터(=vuln_1)와 동일하면 상기 제1 웹사이트가 취약하다고 판단하는 단계를 포함할 수도 있다.
나아가, 상기 제2 취약점 여부 판단 단계(S130)는, 상기 진단 대상 URL에서 파라미터(parameter)의 변수값이 숫자인 경우가 존재하면, 상기 진단 대상 URL에서 상기 변수값을 상기 진단 대상 URL과 동일한 결과가 나오도록 하는 상기 제2 구문을 사용해 변조하여 요청(request)하고, 그에 따른 제2 취약 응답(response) 데이터(=vuln_2)가 상기 진단 대상 URL의 요청(request)에 대한 제2 원본 응답 데이터(=origin_2)와 동일하면 상기 제1 웹사이트가 취약하다고 판단하는 단계를 포함할 수 있다.
또한, 상기 제2 취약점 여부 판단 단계(S130)는, 상기 변수값을 SQL 쿼리 결과 에러가 발생하도록 하는 제4 구문을 사용해 변조하여 요청(request)하고, 그에 따른 제2 에러 응답(response) 데이터(=error_2)가 상기 제2 취약 응답 데이터(=vuln_2)와 상이하면 상기 제1 웹사이트가 취약하다고 판단하는 단계를 포함할 수도 있다.
더 나아가, 상기 제2 취약점 여부 판단 단계(S130)는, 상기 진단 대상 URL의 파라미터 변수값을 SQL 쿼리 결과 참(true) 또는 거짓(false)을 판단할 수 있는 상기 제2 구문을 사용해 변조하여 요청(request)하고, 그에 따른 제3 취약 응답(response) 데이터(=vuln_true_3)가 상기 진단 대상 URL의 요청(request)에 대한 제3 원본 응답 데이터(=origin_3)와 동일하면 상기 제1 웹사이트가 취약하다고 판단하는 단계를 포함할 수도 있다.
이때, 상기 제2 취약점 여부 판단 단계(S130)는, 상기 변수값을 SQL 쿼리 결과 에러가 발생하도록 하는 제5 구문을 사용해 변조하여 요청(request)하고, 그에 따른 제3 에러 응답(response) 데이터(=vuln_false_3)가 상기 제3 취약 응답 데이터(=vuln_true_3)와 상이하면 상기 제1 웹사이트가 취약하다고 판단하는 단계를 포함할 수도 있다.
이에 따라, 상기 제2 취약점 여부 판단 단계(S130)에서는, 상기 제1 취약점 여부 판단 단계(S110)와 달리 에러 문구를 확인할 수 없는 경우에도 진단 대상 URL에 포함되는 파라미터의 특성에 따라 서로 다른 제2 구문으로 변조된 진단 대상 URL에 대한 응답(response) 데이터를 기준으로 웹 서버(120)의 처리 지연 또는 처리 불능을 유발하지 않으면서 효과적으로 SQL 삽입 취약점 여부를 판단할 수 있게 된다.
또한, 도 4에서는 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법의 보다 구체적인 순서도를 예시하고 있다. 이하 도 4를 참조하여 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법을 보다 자세하게 살핀다.
먼저, S410 단계에서는 SQL 삽입 취약점 진단 장치(110)에서 제1 웹사이트에 접속하기 위한 준비를 수행한다. 이에 따라. 상기 SQL 삽입 취약점 진단 장치(110)에서는 접속을 위한 사용자 환경을 설정할 수 있다. 이에 따라, 상기 제1 웹사이트에 대한 URL을 수집하거나, 웹 브라우저의 종류 및 사용 환경을 고려하여 user-agent를 설정하거나, 관리자 설정 등 로그인 정보의 설정을 위하여 cookie를 설정할 수 있다.
이어서, S420 단계에서는 상기 제1 웹사이트의 진단 대상 URL에서 파라미터 영역이 존재하는지 여부를 판단하게 된다. 또한, S421 단계에서는, 앞서 기술한 바와 같이 포스트 본문 데이터(POST body)가 존재하는지 여부도 함께 판단하게 된다.
다음으로, S430 단계에서는, 상기 SQL 삽입 취약점 진단 장치(110)가 상기 진단 대상 URL에 대하여 에러를 유발할 수 있는 제1 구문을 사용해 변조하여 요청(request)하고 그에 따른 에러 문구를 기초로 SQL 삽입 취약점 여부를 진단하고(제1 취약점 진단 단계(S120)), S440 단계에서 상기 S430 단계의 진단 결과를 이용하여 상기 제1 웹 사이트에 대한 SQL 삽입 취약점 여부를 판단하게 된다.
보다 구체적으로, 도 5에서는, 상기 제1 취약점 진단 단계(S120)에 대한 보다 구체적인 순서도를 예시하고 있다.
도 5에서 볼 수 있는 바와 같이, 먼저 S431 단계에서는 상기 S410 단계와 마찬가지로 SQL 삽입 취약점 진단 장치(110)에서 제1 웹사이트에 접속하기 위한 준비를 수행한다.
이때, 상기 S410 단계에서 수행된 설정 작업 외에 추가적인 설정 작업이 필요하지 않다면 상기 S431 단계는 생략될 수도 있다.
또한, S432 단계 및 S433 단계에서도, 상기 S420 단계 및 S421 단계와 마찬가지로 제1 웹사이트의 진단 대상 URL에서 파라미터 영역 또는 포스트 본문 데이터(POST body)가 존재하는지 여부를 판단하게 된다.
이때에도, 상기 S420 단계 및 S421 단계에서 처리된 작업 외에 추가적인 작업이 필요하지 않다면 상기 S432 단계 및 S433 단계도 생략될 수 있다.
이어서, S434 단계에서는, 상기 SQL 삽입 취약점 진단 장치(110)가 상기 진단 대상 URL에 대하여 에러를 유발할 수 있는 제1 구문을 사용해 변조하여 요청(request)하게 된다.
이에 따라, S435 단계에서는, 상기 S434 단계에 의한 응답(response) 데이터에 에러 문구가 포함되었는지를 정규 표현식 등을 사용하여 확인하게 된다.
이어서, S436 단계에서는, 상기 응답(response) 데이터에 에러 문구가 포함되었다면 상기 제1 웹사이트가 취약하다고 판단하고, S437 단계에서 상기 제1 웹사이트에 SQL 취약점이 존재함을 진단자에게 알리는 등의 작업을 수행하게 된다.
이에 따라, 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법, 장치 및 컴퓨터 프로그램에서는, SQL 삽입 취약점을 진단함에 있어 최적화된 쿼리를 구성하여 다수의 쿼리에 의한 과도한 네트워크 부하를 방지하면서 효과적으로 SQL 삽입 취약점을 진단할 수 있게 된다.
또한, 도 4에서, S450 단계에서는, 상기 SQL 삽입 취약점 진단 장치(110)가 상기 진단 대상 URL 대하여 상기 파라미터(parameter)의 변수명의 종류를 고려하여 제2 구문을 사용해 변조하여 요청(request)하고 그에 따른 응답(response) 데이터를 기초로 SQL 삽입 취약점 여부를 진단하고(제2 취약점 진단 단계(S130)), S460 단계에서 상기 S450 단계의 진단 결과를 이용하여 상기 제1 웹 사이트에 대한 SQL 삽입 취약점 여부를 판단하게 된다.
보다 구체적으로, 도 6에서는, 상기 제2 취약점 진단 단계(S130)에 대한 보다 구체적인 순서도를 예시하고 있다.
도 6에서 볼 수 있는 바와 같이, 먼저 S451 단계에서는 상기 S410 단계와 마찬가지로 SQL 삽입 취약점 진단 장치(110)에서 제1 웹사이트에 접속하기 위한 준비를 수행한다.
이때, 상기 S410 단계에서 수행된 설정 작업 외에 추가적인 설정 작업이 필요하지 않다면 상기 S451 단계는 생략될 수도 있다.
또한, S452 단계 및 S452-1 단계에서도, 상기 S420 단계 및 S421 단계와 마찬가지로 제1 웹사이트의 진단 대상 URL에서 파라미터 영역 또는 포스트 본문 데이터(POST body)가 존재하는지 여부를 판단하게 된다.
이때에도, 상기 S420 단계 및 S421 단계에서 처리된 작업 외에 추가적인 작업이 필요하지 않다면 상기 S452 단계 및 S452-1 단계도 생략될 수 있다.
이어서, S453 단계에서는, 상기 진단 대상 URL의 파라미터(parameter)에 정렬과 관련된 변수명이 존재하는지 여부를 판단하게 된다.
이때, 상기 진단 대상 URL의 파라미터(parameter)에 정렬과 관련된 변수명(예를 들어, asc, desc, order 등)이 존재하는 경우, 제1 취약점 진단 프로세스를 수행할 수 있다. 또한, S454-1 단계에서는 상기 제1 취약점 진단 프로세스의 결과에 따라 상기 제1 웹사이트에 대하여 SQL 삽입 취약으로 판단하거나, S435 단계로 진행하여 진단을 계속하게 된다.
이에 대하여, 도 7에서는 상기 제1 취약점 진단 프로세스의 보다 구체적인 순서도를 예시하고 있다.
보다 구체적으로, 도 7에서 볼 수 있는 바와 같이, 상기 제1 취약점 진단 프로세스에서는, 먼저 S4541 단계에서, 데이터베이스(DB) 쿼리 결과로 데이터베이스(DB) 에러가 발생하도록 파라미터의 변수값을 변조하여 요청(request)한 후 응답(response) 데이터를 저장한다(제1 오류 응답 데이터(=error_1)).
또한, S4542 단계에서, 쿼리 결과가 원본 URL(즉, 진단 대상 URL)과 다른 응답이 나오도록 파라미터의 변수값을 변조해서 요청(request)한 후 응답(response) 데이터를 저장한다(제1 취약 응답 데이터(=vuln_1)).
이어서, S4543 단계에서는, 상기 제1 오류 응답 데이터(=error_1)와 상기 제1 취약 응답 데이터(=vuln_1)를 비교하여 서로 다른 경우 S4544 단계로 진행한다.
상기 S4544 단계에서는, 데이터베이스(DB) 쿼리 결과가 상기 vuln_1과 동일한 응답이 나오도록 파라미터의 변수값을 변조하여 요청(request)한 후 응답(response) 데이터를 저장한다(=vuln_1-2).
이어서, S4544-1 단계에서는, 상기 vuln_1과 상기 vuln_1-2를 비교하여 서로 동일한 경우 S4545 단계로 진행한다.
상기 S4545 단계에서는, 데이터베이스(DB) 쿼리 결과가 상기 error_1과 동일한 응답이 나오도록 파라미터의 변수값을 변조하여 요청(request)한 후 응답(response) 데이터를 저장한다(=error_1-2).
이어서, S4545-1 단계에서는, 상기 error_1과 상기 error_1-2를 비교하여 서로 동일한 경우 S4546 단계로 진행한다.
상기 S4546 단계에서는, 데이터베이스(DB) 쿼리 결과가 상기 vuln_1과 동일한 응답이 나오도록 파라미터의 변수값을 변조하여 요청(request)한 후 응답(response) 데이터를 저장한다(=vuln_1-3).
이어서, S4546-1 단계에서는, 상기error_1-2와 상기 vuln_1-3을 비교하여 서로 상이한 경우 S4547 단계로 진행한다.
다음으로, 상기 S4547 단계에서는, 상기 원본 URL(즉, 진단 대상 URL)을 요청(request)한 후 응답(response) 데이터를 저장한다(제1 원본 응답 데이터(=origin_1)).
이어서, S4548 단계에서는, 상기vuln_1-3과 상기 origin_1을 비교하여 서로 동일한 경우 S4549 단계로 진행한다.
이때, 상기 S4544 단계 내지 S4546 단계는 SQL 삽입 취약점의 오탐을 줄이기 위한 추가 진단 단계로서 생략될 수도 있으며, 이러한 경우 상기 S4548 단계에서는, 상기 제1 취약 응답 데이터(vuln_1)와 제1 원본 응답 데이터(origin_1)을 비교할 수 있다.
이에 따라, S4549 단계에 도달하면 상기 제1 웹사이트에 대한 SQL 삽입 취약점이 존재하는 것으로 판단하게 된다.
또한, 도 6에서 S455 단계에서는, 상기 진단 대상 URL에서 파라미터(parameter)의 변수값이 숫자인 경우가 이 존재하는지 판단하게 된다.
이때, 상기 진단 대상 URL에 파라미터(parameter)의 변수값이 숫자인 경우(예를 들어, no=20 등)가 존재하면, 제2 취약점 진단 프로세스를 수행할 수 있다. 또한, S456-1 단계에서는 상기 제2 취약점 진단 프로세스의 결과에 따라 상기 제1 웹사이트에 대하여 SQL 삽입 취약으로 판단하거나, S437 단계로 진행하여 진단을 계속하게 된다.
이에 대하여, 도 8에서는 상기 제2 취약점 진단 프로세스의 보다 구체적인 순서도를 예시하고 있다.
보다 구체적으로, 도 8에서 볼 수 있는 바와 같이, 상기 제2 취약점 진단 프로세스에서는, 먼저 S4561 단계에서, 원본 URL(즉, 진단 대상 URL)을 요청(request)한 후 응답(response) 데이터를 저장한다(제2 원본 응답 데이터(=origin_2)).
또한, S4562 단계에서, 쿼리 결과가 원본 URL(즉, 진단 대상 URL)과 다른 응답이 나오도록 파라미터의 변수값을 변조해서 요청(request)한 후 응답(response) 데이터를 저장한다(제2 취약 응답 데이터(=vuln_2)).
이어서, S4543 단계에서는, 상기 제2 원본 응답 데이터(=origin_2)와 상기 제2 취약 응답 데이터(=vuln_2)를 비교하여 서로 동일한 경우 S4564 단계로 진행한다.
상기 S4564 단계에서는, 데이터베이스(DB) 쿼리 결과로 데이터베이스(DB) 에러가 발생하도록 파라미터의 변수값을 변조하여 요청(request)한 후 응답(response) 데이터를 저장한다(=error_2).
이어서, S4546-1 단계에서는, 상기 vuln_2과 상기 error_2를 비교하여 서로 상이한 경우 S4565 단계로 진행한다.
상기 S4565 단계에서는, 데이터베이스(DB) 쿼리 결과가 상기 error_2와 동일한 응답이 나오도록 파라미터의 변수값을 변조하여 요청(request)한 후 응답(response) 데이터를 저장한다(=error_2-2).
이어서, S4565-1 단계에서는, 상기 error_2와 상기 error_2-2를 비교하여 서로 동일한 경우 S4566 단계로 진행한다.
상기 S4566 단계에서는, 데이터베이스(DB) 쿼리 결과가 상기 vuln_2과 동일한 응답이 나오도록 파라미터의 변수값을 변조하여 요청(request)한 후 응답(response) 데이터를 저장한다(=vuln_2-2).
이어서, S4567 단계에서는, 상기vuln_2와 상기 vuln_2-2를 비교하여 서로 동일한 경우 S4568 단계로 진행한다.
이때, 상기 S4565 단계 내지 S4567 단계는 SQL 삽입 취약점의 오탐을 줄이기 위한 추가 진단 단계로서 생략될 수도 있으며, 이러한 경우 상기 S4564-1 단계에서는, 상기 vuln_2와 상기 error_2가 동일한 경우 S4568 단계로 진행할 수 있다.
이에 따라, S4568 단계에 도달하면 상기 제1 웹사이트에 대한 SQL 삽입 취약점이 존재하는 것으로 판단하게 된다.
또한, 도 6에서 S457 단계에서는, 상기 진단 대상 URL의 파라미터 변수값을 SQL 쿼리 결과 참(true) 또는 거짓(false)을 판단할 수 있는 상기 제2 구문을 사용해 변조하여 제3 취약점 진단 프로세스를 진행하게 된다.
이에 대하여, 도 9에서는 상기 제3 취약점 진단 프로세스의 보다 구체적인 순서도를 예시하고 있다.
보다 구체적으로, 도 9에서 볼 수 있는 바와 같이, 상기 제3 취약점 진단 프로세스에서는, 먼저 S4571 단계에서, 원본 URL(즉, 진단 대상 URL)을 요청(request)한 후 응답(response) 데이터를 저장한다(제3 원본 응답 데이터(=origin_3)).
또한, S4572 단계에서, 데이터베이스(DB) 쿼리 결과가 원본 URL(즉, 진단 대상 URL)과 같은 응답이 나오도록 파라미터의 변수값을 변조해서 요청(request)한 후 응답(response) 데이터를 저장한다(제3 취약 응답 데이터(=vuln_true_3)).
이어서, S4573 단계에서는, 상기 제3 원본 응답 데이터(=origin_3)와 상기 제3 취약 응답 데이터(=vuln_ture_3)를 비교하여 서로 동일한 경우 S4574 단계로 진행한다.
상기 S4574 단계에서는, 데이터베이스(DB) 쿼리 결과로 데이터베이스(DB) 에러가 발생하도록 파라미터의 변수값을 변조하여 요청(request)한 후 응답(response) 데이터를 저장한다(=vuln_false_3).
이어서, S4574-1 단계에서는, 상기 origin_3와 상기 vuln_false_3를 비교하여 서로 상이한 경우 S4575 단계로 진행한다.
상기 S4575 단계에서는, 데이터베이스(DB) 쿼리 결과가 데이터베이스(DB) 에러가 발생하도록 파라미터의 변수값을 변조하여 요청(request)한 후 응답(response) 데이터를 저장한다(=vuln_false_error_3). 이때, 상기 파라미터의 변수값은 상기 vuln_false_3의 변수값에서 1바이트만 변조하여 차이가 최소화되도록 진행하는 것이 바람직하다.
이어서, S4575-1 단계에서는, 상기 origin_3와 상기 vuln_false_error_3를 비교하여 서로 상이한 경우 S4576 단계로 진행한다.
상기 S4576 단계에서는, 데이터베이스(DB) 쿼리 결과가 데이터베이스(DB) 에러가 발생하도록 파라미터의 변수값을 변조하여 요청(request)한 후 응답(response) 데이터를 저장한다(=vuln_true_error_3). 이때, 상기 파라미터의 변수값은 상기 vuln_true_3의 변수값에서 1바이트만 변조하여 차이가 최소화되도록 진행하는 것이 바람직하다.
이어서, S4577 단계에서는, 상기vuln_true_3와 상기 vuln_true_error_3를 비교하여 서로 상이한 경우 S4578 단계로 진행한다.
이때, 상기 S4575 단계 내지 S4577 단계는 SQL 삽입 취약점의 오탐을 줄이기 위한 추가 진단 단계로서 생략될 수도 있으며, 이러한 경우 상기 S4574-1 단계에서는, 상기 origin_3와 상기 vuln_false_3가 상이한 경우 S4578 단계로 진행할 수 있다.
또한, S4578 단계에 도달하면 상기 제1 웹사이트에 대한 SQL 삽입 취약점이 존재하는 것으로 판단하게 된다.
이에 따라, 도 6의 S459 단계에서는 상기 제1 취약점 진단 프로세스 내지 제3 취약점 진단 프로세스를 이용하여 에러 문구를 이용하지 않고도 웹 서버의 처리 지연 또는 처리 불능 상태를 방지하면서 SQL 주입 취약점을 효과적으로 진단할 수 있게 된다.
또한, 본 발명의 또 다른 측면에 따른 컴퓨터 프로그램은 앞서 살핀 SQL 삽입 취약점 진단 방법의 각 단계를 컴퓨터에서 실행시키기 위하여 컴퓨터로 판독 가능한 매체에 저장된 컴퓨터 프로그램인 것을 특징으로 한다. 상기 컴퓨터 프로그램은 컴파일러에 의해 만들어지는 기계어 코드를 포함하는 컴퓨터 프로그램뿐만 아니라, 인터프리터 등을 사용해서 컴퓨터에서 실행될 수 있는 고급 언어 코드를 포함하는 컴퓨터 프로그램일 수도 있다. 이때, 상기 컴퓨터로서는 퍼스널 컴퓨터(PC)나 노트북 컴퓨터 등에 한정되지 아니하며, 서버, 스마트폰, 태블릿 PC, PDA, 휴대전화 등 중앙처리장치(CPU)를 구비하여 컴퓨터 프로그램을 실행할 수 있는 일체의 정보처리 장치를 포함한다. 또한, 상기 상기 컴퓨터로 판독 가능한 매체는 전자적 기록 매체(예를 들면, 롬, 플래시 메모리, 등), 마그네틱 저장매체(예를 들면, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등)와 같이 컴퓨터로 판독이 가능한 일체의 저장매체를 포함한다.
또한, 도 10에서는 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 장치(110)의 구성도를 예시하고 있다.
도 10에서 볼 수 있는 바와 같이 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 장치(110)는 파라미터 산출부(111), 제2 취약점 판단부(112) 및 제2 취약점 판단부(113)를 포함하여 구성될 수 있다.
아래에서는 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 장치(110)를 각 구성요소 별로 나누어 살핀다. 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 장치(110)에 대한 보다 자세한 내용은 앞서 설명한 도 2 내지 도 9의 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법과 유사하게 다양한 실시예로 구현될 수 있는 바, 자세한 설명을 반복하는 것은 생략한다.
먼저, 상기 파라미터 산출부(111)에서는, 상기 제1 웹사이트의 진단 대상 URL에서 파라미터(parameter) 변수명과 변수값을 산출하게 된다.
이에 따라, 상기 제1 취약점 여부 판단부(112)에서는 상기 진단 대상 URL에 대하여 에러를 유발할 수 있는 제1 구문을 사용해 변조하여 요청(request)하고 그에 따른 에러 문구를 기초로 SQL 삽입 취약점 여부를 판단하게 된다.
마지막으로, 상기 제2 취약점 판단부(113)에서는, 상기 진단 대상 URL에 대하여 상기 파라미터(parameter)의 변수명의 종류를 고려하여 제2 구문을 사용해 변조하여 요청(request)하고 그에 따른 응답(response) 데이터를 기초로 SQL 삽입 취약점 여부를 판단하게 된다.
이때, 상기 제1 취약점 여부 판단(112)에서, 상기 제1 구문에는 SQL에서 문자열을 빠져나올 수 있는 제1 특수 문자와 문자열을 주석 처리할 수 있는 제2 특수 문자가 포함될 수 있다.
나아가, 상기 제1 취약점 여부 판단부(112)에서, 상기 진단 대상 URL은 상기 제1 구문이 상기 진단 대상 URL의 상기 변수값에 후속하여 삽입되어 변조될 수 있다.
또한, 상기 제2 취약점 여부 판단부(113)는, 상기 진단 대상 URL의 파라미터(parameter)에 정렬과 관련된 변수명이 존재하는 경우, 상기 변수명에 대한 변수값을 SQL 쿼리 결과 에러가 발생하도록 하는 상기 제2 구문을 사용해 변조하여 요청(request)하고, 그에 따른 제1 오류 응답(response) 데이터(=error_1)를 기초로 SQL 삽입 취약점 여부를 판단하는 구성을 포함할 수 있다.
나아가, 상기 제2 취약점 여부 판단부(113)는, 상기 진단 대상 URL에서 상기 변수명에 대한 변수값을 상기 진단 대상 URL과 동일한 결과가 나오도록 하는 제3 구문을 사용해 변조하여 요청(request)하고, 그에 따른 제1 취약 응답(response) 데이터(=vuln_1)가 상기 제1 오류 응답 데이터(=error_1)와 상이하면 상기 제1 웹사이트가 취약하다고 판단하는 구성을 포함할 수 있다.
또한, 상기 제2 취약점 여부 판단부(113)는, 상기 진단 대상 URL의 요청(request)에 대한 제1 원본 응답 데이터(=origin_1)가 상기 제1 취약 응답(response) 데이터(=vuln_1)와 동일하면 상기 제1 웹사이트가 취약하다고 판단하는 구성을 포함할 수도 있다.
또한, 상기 제2 취약점 여부 판단부(112)는, 상기 진단 대상 URL에서 파라미터(parameter)의 변수값이 숫자인 경우가 존재하면, 상기 진단 대상 URL에서 상기 변수값을 상기 진단 대상 URL과 동일한 결과가 나오도록 하는 상기 제2 구문을 사용해 변조하여 요청(request)하고, 그에 따른 제2 취약 응답(response) 데이터(=vuln_2)가 상기 진단 대상 URL의 요청(request)에 대한 제2 원본 응답 데이터(=origin_2)와 동일하면 상기 제1 웹사이트가 취약하다고 판단하는 구성을 포함할 수 있다.
또한, 상기 제2 취약점 여부 판단부(113)는, 상기 변수값을 SQL 쿼리 결과 에러가 발생하도록 하는 제4 구문을 사용해 변조하여 요청(request)하고, 그에 따른 제2 에러 응답(response) 데이터(=error_2)가 상기 제2 취약 응답 데이터(=vuln_2)와 상이하면 상기 제1 웹사이트가 취약하다고 판단하는 구성을 포함할 수 있다.
나아가, 상기 제2 취약점 여부 판단부(113)는, 상기 진단 대상 URL의 파라미터 변수값을 SQL 쿼리 결과 참(true) 또는 거짓(false)을 판단할 수 있는 상기 제2 구문을 사용해 변조하여 요청(request)하고, 그에 따른 제3 취약 응답(response) 데이터(=vuln_true_3)가 상기 진단 대상 URL의 요청(request)에 대한 제3 원본 응답 데이터(=origin_3)와 동일하면 상기 제1 웹사이트가 취약하다고 판단하는 구성을 포함할 수도 있다.
또한, 상기 제2 취약점 여부 판단부(113)는, 상기 변수값을 SQL 쿼리 결과 에러가 발생하도록 하는 제5 구문을 사용해 변조하여 요청(request)하고, 그에 따른 제3 에러 응답(response) 데이터(=vuln_false_3)가 상기 제3 취약 응답 데이터(=vuln_true_3)와 상이하면 상기 제1 웹사이트가 취약하다고 판단하는 구성을 포함할수 도 있다.
또한, 상기 파라미터 산출부(111)는, 상기 진단 대상 URL에서 파라미터(parameter) 영역을 식별하는 파라미터 영역 식별부(미도시) 및 상기 파라미터 영역을 파싱하여 상기 파라미터(parameter) 변수명과 변수값을 산출하는 파라미터 파싱부(미도시)를 포함할 수도 있다.
이에 따라, 본 발명의 일 실시예에 따른 SQL 삽입 취약점 진단 방법, 장치 및 컴퓨터 프로그램에서는, SQL 주입 취약점을 진단함에 있어 다수의 공격 쿼리가 사용되면서 네트워크 부하가 크게 증가하는 문제를 방지할 수 있으며, 나아가 상기 SQL 주입 취약점 진단 과정에서 공격 쿼리로 인하여 웹 서버의 응답이 느려지거나 심할 경우 멈출 수도 있는 문제도 효과적으로 개선할 수 있게 된다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : SQL 삽입 취약점 진단 시스템
110 : SQL 삽입 취약점 진단 장치
111 : 파라미터 산출부
112 : 제1 취약점 판단부
113 : 제2 취약점 판단부
120, 120a, 120b : 웹 서버
130 : 통신 네트워크

Claims (13)

  1. 제1 웹사이트에 대한 SQL 삽입(SQL injection) 취약점을 진단하는 방법에 있어서,
    SQL 삽입 취약점 진단 장치가, 상기 제1 웹사이트의 진단 대상 URL에서 파라미터(parameter) 변수명과 변수값을 산출하는 파라미터 산출 단계;
    상기 진단 대상 URL에 대하여 에러를 유발할 수 있는 제1 구문을 사용해 변조하여 요청(request)하고 그에 따른 에러 문구를 기초로 SQL 삽입 취약점 여부를 판단하는 제1 취약점 여부 판단 단계; 및
    상기 진단 대상 URL에 대하여 상기 파라미터(parameter)의 변수명 또는 변수값의 종류에 따라 서로 다른 제2 구문을 사용해 변조하여 요청(request)하고 그에 따른 응답(response) 데이터를 기초로 SQL 삽입 취약점 여부를 판단하는 제2 취약점 여부 판단 단계;
    를 포함하는 것을 특징으로 하는 SQL 삽입 취약점 진단 방법.
  2. 제1항에 있어서,
    상기 제1 취약점 여부 판단 단계에서,
    상기 제1 구문에는 SQL에서 문자열을 빠져나올 수 있는 제1 특수 문자와 문자열을 주석 처리할 수 있는 제2 특수 문자가 포함되는 것을 특징으로 하는 SQL 삽입 취약점 진단 방법.
  3. 제2항에 있어서,
    상기 제1 취약점 여부 판단 단계에서,
    상기 진단 대상 URL은 상기 제1 구문이 상기 진단 대상 URL의 상기 변수값에 후속하여 삽입되어 변조되는 것을 특징으로 하는 SQL 삽입 취약점 진단 방법.
  4. 제1항에 있어서,
    상기 제2 취약점 여부 판단 단계는,
    상기 진단 대상 URL의 파라미터(parameter)에 정렬과 관련된 변수명이 존재하는 경우,
    상기 변수명에 대한 변수값을 SQL 쿼리 결과 에러가 발생하도록 하는 상기 제2 구문을 사용해 변조하여 요청(request)하고,
    그에 따른 제1 오류 응답(response) 데이터(=error_1)를 기초로 SQL 삽입 취약점 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 SQL 삽입 취약점 진단 방법.
  5. 제4항에 있어서,
    상기 제2 취약점 여부 판단 단계는,
    상기 진단 대상 URL에서 상기 변수명에 대한 변수값을 상기 진단 대상 URL과 동일한 결과가 나오도록 하는 제3 구문을 사용해 변조하여 요청(request)하고,
    그에 따른 제1 취약 응답(response) 데이터(=vuln_1)가 상기 제1 오류 응답 데이터(=error_1)와 상이하면 상기 제1 웹사이트가 취약하다고 판단하는 단계를 포함하는 것을 특징으로 하는 SQL 삽입 취약점 진단 방법.
  6. 제5항에 있어서,
    상기 제2 취약점 여부 판단 단계는,
    상기 진단 대상 URL의 요청(request)에 대한 제1 원본 응답 데이터(=origin_1)가 상기 제1 취약 응답(response) 데이터(=vuln_1)와 동일하면 상기 제1 웹사이트가 취약하다고 판단하는 단계를 포함하는 것을 특징으로 하는 SQL 삽입 취약점 진단 방법.
  7. 제1항에 있어서,
    상기 제2 취약점 여부 판단 단계는,
    상기 진단 대상 URL에서 파라미터(parameter)의 변수값이 숫자인 경우가 존재하면,
    상기 진단 대상 URL에서 상기 변수값을 상기 진단 대상 URL과 동일한 결과가 나오도록 하는 상기 제2 구문을 사용해 변조하여 요청(request)하고,
    그에 따른 제2 취약 응답(response) 데이터(=vuln_2)가 상기 진단 대상 URL의 요청(request)에 대한 제2 원본 응답 데이터(=origin_2)와 동일하면 상기 제1 웹사이트가 취약하다고 판단하는 단계를 포함하는 것을 특징으로 하는 SQL 삽입 취약점 진단 방법.
  8. 제7항에 있어서,
    상기 제2 취약점 여부 판단 단계는,
    상기 변수값을 SQL 쿼리 결과 에러가 발생하도록 하는 제4 구문을 사용해 변조하여 요청(request)하고,
    그에 따른 제2 에러 응답(response) 데이터(=error_2)가 상기 제2 취약 응답 데이터(=vuln_2)와 상이하면 상기 제1 웹사이트가 취약하다고 판단하는 단계를 포함하는 것을 특징으로 하는 SQL 삽입 취약점 진단 방법.
  9. 제4항에 있어서,
    상기 제2 취약점 여부 판단 단계는,
    상기 진단 대상 URL의 파라미터 변수값을 SQL 쿼리 결과 참(true) 또는 거짓(false)을 판단할 수 있는 상기 제2 구문을 사용해 변조하여 요청(request)하고,
    그에 따른 제3 취약 응답(response) 데이터(=vuln_true_3)가 상기 진단 대상 URL의 요청(request)에 대한 제3 원본 응답 데이터(=origin_3)와 동일하면 상기 제1 웹사이트가 취약하다고 판단하는 단계를 포함하는 것을 특징으로 하는 SQL 삽입 취약점 진단 방법.
  10. 제9항에 있어서,
    상기 제2 취약점 여부 판단 단계는,
    상기 변수값을 SQL 쿼리 결과 에러가 발생하도록 하는 제5 구문을 사용해 변조하여 요청(request)하고,
    그에 따른 제3 에러 응답(response) 데이터(=vuln_false_3)가 상기 제3 취약 응답 데이터(=vuln_true_3)와 상이하면 상기 제1 웹사이트가 취약하다고 판단하는 단계를 포함하는 것을 특징으로 하는 SQL 삽입 취약점 진단 방법.
  11. 제1항에 있어서,
    상기 파라미터 산출 단계는,
    상기 진단 대상 URL에서 파라미터(parameter) 영역을 식별하는 파라미터 영역 식별 단계; 및
    상기 파라미터 영역을 파싱하여 상기 파라미터(parameter) 변수명과 변수값을 산출하는 파라미터 파싱 단계;를 포함하는 것을 특징으로 하는 SQL 삽입 취약점 진단 방법.
  12. 컴퓨터에서 제1항 내지 제11항 중 어느 한 항에 기재된 SQL 삽입 취약점 진단 방법의 각 단계를 실행시키기 위한 컴퓨터로 판독 가능한 매체에 저장된 컴퓨터 프로그램.
  13. 제1 웹사이트에 대한 SQL 삽입(SQL injection) 취약점을 진단하는 장치에 있어서,
    상기 제1 웹사이트의 진단 대상 URL에서 파라미터(parameter) 변수명과 변수값을 산출하는 파라미터 산출부;
    상기 진단 대상 URL에 대하여 에러를 유발할 수 있는 제1 구문을 사용해 변조하여 요청(request)하고 그에 따른 에러 문구를 기초로 SQL 삽입 취약점 여부를 판단하는 제1 취약점 여부 판단부; 및
    상기 진단 대상 URL에 대하여 상기 파라미터(parameter)의 변수명 또는 변수값의 종류에 따라 서로 다른의 제2 구문을 사용해 변조하여 요청(request)하고 그에 따른 응답(response) 데이터를 기초로 SQL 삽입 취약점 여부를 판단하는 제2 취약점 여부 판단부;
    를 포함하는 것을 특징으로 하는 SQL 삽입 취약점 진단 장치.
KR1020200126208A 2020-09-28 2020-09-28 Sql 주입 취약점 진단 방법, 장치 및 컴퓨터 프로그램 KR102497201B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200126208A KR102497201B1 (ko) 2020-09-28 2020-09-28 Sql 주입 취약점 진단 방법, 장치 및 컴퓨터 프로그램

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200126208A KR102497201B1 (ko) 2020-09-28 2020-09-28 Sql 주입 취약점 진단 방법, 장치 및 컴퓨터 프로그램

Publications (2)

Publication Number Publication Date
KR20220042859A KR20220042859A (ko) 2022-04-05
KR102497201B1 true KR102497201B1 (ko) 2023-02-08

Family

ID=81181716

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200126208A KR102497201B1 (ko) 2020-09-28 2020-09-28 Sql 주입 취약점 진단 방법, 장치 및 컴퓨터 프로그램

Country Status (1)

Country Link
KR (1) KR102497201B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012133406A (ja) * 2010-11-10 2012-07-12 Kyocera Communication Systems Co Ltd 脆弱性診断装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101001132B1 (ko) * 2008-02-22 2010-12-15 엔에이치엔비즈니스플랫폼 주식회사 웹 어플리케이션의 취약성 판단 방법 및 시스템
KR101949338B1 (ko) 2018-11-13 2019-02-18 (주)시큐레이어 기계 학습 모델에 기반하여 페이로드로부터 sql 인젝션을 탐지하는 방법 및 이를 이용한 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012133406A (ja) * 2010-11-10 2012-07-12 Kyocera Communication Systems Co Ltd 脆弱性診断装置

Also Published As

Publication number Publication date
KR20220042859A (ko) 2022-04-05

Similar Documents

Publication Publication Date Title
US11961021B2 (en) Complex application attack quantification, testing, detection and prevention
US9356955B2 (en) Methods for determining cross-site scripting and related vulnerabilities in applications
US10678910B2 (en) Modifying web page code to include code to protect output
US9032516B2 (en) System and method for detecting malicious script
US8615804B2 (en) Complementary character encoding for preventing input injection in web applications
CN109768992B (zh) 网页恶意扫描处理方法及装置、终端设备、可读存储介质
US20140123295A1 (en) Systems and methods for advanced dynamic analysis scanning
US20210263924A1 (en) Machine learning detection of database injection attacks
CN111835777B (zh) 一种异常流量检测方法、装置、设备及介质
CN103279710A (zh) Internet信息系统恶意代码的检测方法和系统
CN113518077A (zh) 一种恶意网络爬虫检测方法、装置、设备及存储介质
CN102893576A (zh) 用于减缓跨站弱点的方法和装置
CN109067717B (zh) 一种检测sql注入漏洞的方法及装置
WO2021031902A1 (zh) Url提取方法、装置、设备及计算机可读存储介质
CN110086827A (zh) 一种sql注入校验方法、服务器以及系统
KR102497201B1 (ko) Sql 주입 취약점 진단 방법, 장치 및 컴퓨터 프로그램
CN115348086B (zh) 一种攻击防护方法及装置、存储介质及电子设备
WO2020073493A1 (zh) Sql注入漏洞检测方法、装置、设备及可读存储介质
CN111131166A (zh) 一种用户行为预判方法及相关设备
CN114329459A (zh) 浏览器防护方法及装置
US11128653B1 (en) Automatically generating a machine-readable threat model using a template associated with an application or service
CN106411891A (zh) 文件处理方法、装置、服务端和设备
CN108512818B (zh) 检测漏洞的方法及装置
KR102408392B1 (ko) 원격 파일 실행 취약점 진단 방법, 장치 및 컴퓨터 프로그램
CN115065540B (zh) 检测web漏洞攻击的方法、装置和电子设备

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right