[Secure]_#02_[ 포맷스트링, LDAP 인젝션, SQL-injection, blind sql injection, OR 1=1, 필터링, 바인딩, PreparedStatement ]

<포맷 스트링>

• 점검 내용 : 웹 애플리케이션 포맷 스트링 취약점 존재 여부 점검
• 점검 목적 : 공격자의 포맷 스트링 취약점을 통한 악의적인 행위를 차단하기 위함.
• 보안 위협 : C언어로 만드는 프로그램 중 변수의 값을 출력하거나 입력받을 때, 입력받은 값을 조작하여 프로그램의 메모리 위치를 반환받아 메모리 주소를 변조하여 시스템의 관리자 권한을 획득할 수 있음.

** 메모리 위치 -> 서버 취약점

** 해당 메모리에 대해 error가 뜨기 때문에 결국 <버퍼 오버플로우>와 똑같다.

 

• 대상 : 웹 애플리케이션 소스코드, 웹 기반 C/S 프로그램.

** C/S 프로그램 : 인터넷을 사용하는 프로그램(도사관 자리 예약 앱, 식당 키오스크) -> 엄밀히는 웹 취약점 분석이라곤 할 수 없다.

 

 

---

---

<LDAP 인젝션>

• // 트리 형태의 자료 구조(ex. 조직체계도) - 취약하지만 인원관리에 용이해서 LDAP를 사용하곤 한다.
• 점검 내용 : 웹 페이지 내 LDAP 인젝션 취약점 점검
• 점검 목적 : 취약한 시스템에 신뢰할 수 없는 LDAP 코드 삽입 공격을 통한 비인가자의 악의적인 행위를 차단하기 위함.

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

ex)  "(쿼터)를 통해 예시를 보이겠다.

 

1. 다음 처럼 쿼리문이 있다. 

 

~~~쿼리문~~~ "이름" ~~~         

 

 

2. 쿼터를 하나 넣으면 변수로 묶는 쿼터가 한쌍이 이름 앞에서 마무리 되기 때문에 오류가 발생하게 된다.

(SQL-injection)

~~~쿼리문~~~ ""이름" ~~~

 

3. 혹은 다음 처럼 쿼터를 2개 넣으면 두쌍의 쿼터쌍 사이에 공간이 생겨서 그 공간에 마음대로 사용할 수 있는 공간이 생긴다.

 

~~~쿼리문~~~ ""   [마음대로 쓸 수 있는 공간]    "" ~~~

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

 

• 보안 설정 방법 : 특수 기호를 통한 injection이 불가능하도록 설정해야 한다.
  • '      싱글 쿼터
  • "      더블 쿼터
  • --     주석
  • #     동적 쿼리
  • (
  • )
  • =
  • /*
  • */
  • +
  • <
  • >
  • *
  • ;
  • &
  • |

 

---

---

<SQL injection>

• ** 전세계에서 가장 많이 발생.
• 점검 내용 : 웹페이지 내 SQL 인젝션 취약점 존재 여부 점검
• 점검 목적 : 대화형 웹 사이트에 비정상적인 사용자 입력 값 허용을 차단하여 악의적인 데이터베이스 접근 및 조작을 방지하기 위함. 

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

 

ex)

어떤 사이트에서 계정을 생성할 때, 몇가지 특수기호들을 못쓰게 하는 경우를 본적이 있을 것이다.

-> SQL-injection 때문에 해당 특수기호들을 사용하지 못하게 한 것이다.

 

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

• SQL-injection을 시도할 때, 가장 먼저 쿼리문이 실행되는 위치를 찾아야 한다.
  • 즉, 몇가지 특수기호를 넣어보고 오류문이 출력되면 SQL로 인식된 것이고, 쿼리문이 실행되고 있음을 알아야 한다.
• 싱글쿼터입력으로(특수기호 입력으로) 오류메시지가 뜨면 -> SQL-injection성공
• 싱글쿼터입력으로(특수기호 입력으로) 오류메시지가 뜨지 않으면 -> Blind SQL-injection.(개발자가 오류문이 안뜨게 설정해두었을 뿐, SQL로 인식은 된 것.)

 

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

 

OR 1=1     을 쓰는 경우 -> ID보다는 PW에 쓰는 것이 좋다.

 

왜냐하면 ID에 OR 1=1를 쓰고 접속하는 경우, 어떤 계정으로 로그인 되었는지 알 수 없기 때문이다. 

 

즉, 그보다는 특정 ID를 알아낸 후, PW에 OR 1=1 를 입력하여 접속하면 해당 ID로 접속을 할 수 있다는 것이다.

 

*로그인은 참,거짓을 판단하는 것이기 때문에 OR 1=1  을 url에다가 넣는 것은 바보짓이다.^^.

-> url에다가는 쿼터와 같은 특수기호 입력을 통해 SQL로 인식되어 오류가 발생하는지 확인하는 것이 중요하다.

 

관리자 ID는 사이트 맨 하단에 기재된 이메일 주소와 비슷한 경우도 있다.

 

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

 

 

---

지금부터는 SQL-injection 해결법에 대해 알아보겠다. 

먼저, ASP.net의 경우이다. 

ASP.net

방법1. 특정 필터링 적용

private string SafeSqlLiteral(string inputSQL)
{
Str = inputSQL.Replace("'","''");  //왼쪽 큰 따음표안의 문자를 오른쪽 큰 따음표안의 문자로 치환한다.
Str = str. Replace(";","");        // 즉, 없앤다.
Str = str. Replace("--","");
Str = str. Replace("|","");
Str = str. Replace(":","");
Str = str. Replace("+","");
Str = str. Replace("\","");
Str = str. Replace("/","");
.....
return str;
}

그러나, 물론 필터링을 통해서도 SQL-injection을 예방할 수 있지만 바인딩이라는 것만 해주면 필터링은 필요없다고 볼 수 있다.

 

방법2. 바인딩 

Dynamic SQL

----------

Private void cmdLogin_Click(object sender, System.EventArgs e) {
string strCnx = ConfigurationSettings.AppSettings[“cnxNWindBad”];
Using (SqlConnection cnx = new SqlConnection(strCnx))
{
SqlParameter prm;
Cnx.Open();
string strQry =
“SELECT Count(*) FROM Users WHERE UserName = @username “ +  --여기의 3줄보다, 아래의 바인딩이 중요하다.
“AND Password = @password”;
Int intRecs;
SqlCommand cmd = new SqlCommand(strQry, cnx);
cmd.CommandType = CommandType.Text;
prm = new SqlParameter(“@username”,SqlDbType.VarChar,50);   --문자열로  username을 받고있음. -> 바인딩
prm.Direction = ParameterDirection.Input;
prm.Value = txtUser.Text;
cmd.Parameters.Add(prm);
prm = new SqlParameter(“@password”,SqlDbType.VarChar,50);   --문자열로  password을 받고있음. -> 바인딩
prm.Direction = ParameterDirection.Input;
prm.Value = txtPassword.Text;
cmd.Parameters.Add(prm);
intRecs = (int) cmd.ExecuteScalar();
if(intRecs > 0) {
FormsAuthentication.RedirectFromLoginPage(txtUser.Text, false);
}
else {
lblMsg.Text = “Login attempt failed.”;
}
}
}

----------

 

---

JSP.net

 

방법1. 필터링

필터링도 삭제 필터링과 치환 필터링이 있다.

 

public static String makeQuery(String str) {
String result = "";
if(str != null) {
result = chkNull(replace(str, "'", ""));    // 왼쪽 큰 따음표안의 문자를 오른쪽 큰 따음표안의 문자로 치환한다.
result = chkNull(replace(str, ";", ""));    // 여기서는 모두 삭제 필터링을 사용함을 알 수 있다.
result = chkNull(replace(str, "--", ""));
result = chkNull(replace(str, "|", ""));
result = chkNull(replace(str, ":", ""));
result = chkNull(replace(str, "+", ""));
result = chkNull(replace(str, "\", ""));
result = chkNull(replace(str, "/", ""));
result = chkNull(replace(str.toLowerCase(), "select", ""));
result = chkNull(replace(str.toLowerCase(), "update", ""));
result = chkNull(replace(str.toLowerCase(), "delete", ""));
result = chkNull(replace(str.toLowerCase(), "insert", ""));
result = chkNull(replace(str.toLowerCase(), "where", ""));
result = chkNull(replace(str.toLowerCase(), "from", ""));
result = "'"+result+"'";
}
return result;
}
public static String chkNull(String str) {
if (str == null)
return "";
else
return str;
}

 

**삭제 필터링 주의점 **

--> 어떠한 특수문자가 입력되면 삭제되는데, 이때 앞뒤의 쿼리문이 붙어서 오류가 발생할 수 있다.

 

 

방법2. PreparedStatement 객체 사용 (PreparedStatement : jsp에서 injection을 막기위해 쓸 수 있음.)

----------

try{
String tableName = props.getProperty("jdbc.tableName");
String name = props.getProperty("jdbc.name")
String qury = "SELECT * FROM ? WHERE Name = ?";
stmt = con.perpareStatement(query);   --윗 문장 실행 명령.
stmt.setString(1, tableName);      -- injection 을 막기 위한 중요한 부분! --> 바인딩
stmt.setString(2, name);      -- injection 을 막기 위한 중요한 부분! --> 바인딩
rs = stmt.executeQuery();
.....
}
catch (SQLException sqle){ }
finally { }

----------

위와 같은 경우, 사실 먼저 setstring으로 바인딩을 해준 후, preparedstatement가 아니라 그냥 statement를 사용해도 injection을 막을 수 있다.

 

---

* Dynamic SQL 구문 사용 금지 --> 사실 필터링이나 바인딩만 잘하면 사용해도 됨.

 

* XML문서에서 주로 동적문서를 다룰 수 있다. 

 

** PC에서 값을 입력하면 먼저 html, jsp을 먼저 지나가고 XML문서로 가는데,

html 혹은 jsp에서 필터링이나 바인딩을 잘만 해준다면 XML문서에서는 $(동적), #(정적) 중 어느것이든 사용이 가능하다.

 

 

---