🤔 비밀번호 몰라도 로그인이 된다면?

해킹 알려줄게

19화: SQL Injection

안녕하세요! 올해의 마지막 해킹 알려줄게입니다. 😃🎄

2017년에 한 숙박 애플리케이션이 해킹당하여 약 4800명의 사용자에게 'ㅇㅇㅇ님, ㅇ월 ㅇ일 (숙박업소명)에서 즐거우셨나요'라는 문자메시지가 발송된 사건이 있었어요. 😬

해당 해킹은 SQL Injection으로 이루어졌다고 합니다. 🚓

웹 취약점을 공부할 때 항상 들어보는 OWASP! OWASP(The Open Web Application Security Project)는 웹 애플리케이션 중에서도 빈도가 높고 보안상 영향을 크게 주는 취약점 10개를 선정하여 OWASP TOP 10을 공개합니다. Injection은 2013년, 2017년 모두 TOP1을 가져갔지만 2021년에는 3위로 내려왔네요.

이전에 봤었던 Command Injection은 ;을 추가하여 또 다른 명령어를 실행할 수 있었어요. 그리고 최근에 Cross Site Scripting도 Injection 카테고리로 들어갔다고 하네요.

오늘은 SQL Injection 중에서도 기본 개념을 이해해봅시다! 🤓

SQL Injection이 뭐에요? 🤔

우선 SQL이란 Structured Query Language로 쉽게 말하면 '데이터베이스가 이해할 수 있는 언어'입니다. 🖥️ SQL 명령어 중 원하는 데이터를 검색, 삽입, 삭제를 요청(질의, 쿼리)하면 해당하는 작업을 수행합니다.

SQL Injection이란 사용자가 신뢰할 수 없는 SQL을 삽입(injection)하여 악성 페이로드를 실행하는 것이죠. 이 공격으로 기밀성(Confidentiality), 무결성(Integrity), 인증(Authentication) 등의 문제가 발생합니다.

기밀성과 무결성에 대한 내용은 CIA에서 다뤘었어요. 데이터베이스에는 민감한 데이터가 많기 때문에 데이터베이스의 데이터를 조회하거나, 데이터를 추가, 수정, 삭제하기 때문에 기밀성과 무결성 문제가 발생하죠. 😞

인증에 대해서는 사용자 ID와 비밀번호를 확인하는 경우에 비밀번호를 모르더라도 해당 사용자로 로그인할 수 있게 됩니다! 😱 오늘은 인증 우회를 하는 SQL Injection을 예시로 살펴볼게요!

자세한 예시를 들어주세요!

웹 애플리케이션에서 로그인을 해야 하는데 다른 사람, 혹은 관리자의 계정으로 로그인하고 싶어졌어요.

원하는 사이트가 SQL Injection에 취약하다고 할 때, 특히 Alice의 계정을 보고 싶네요. 😈

어떻게 하면 SQL Injection 공격으로 Alice의 계정에 로그인할 수 있을까요?

비밀번호를 모르는 상태에서, Alice가 비밀번호를 설마 password라고 해놓진 않았겠죠? 한번 끝에 '을 추가해 password'를 입력해볼까요?

로그인 버튼을 누르면 입력한 Alice와 password'가 SQL에 삽입되어 서버에 전송되고, 입력한 ID와 PW가 데이터베이스에 존재하는지 확인해 맞다면 로그인을 성공합니다! 😀

현재 입력한 ID와 PW는 아래처럼 쿼리에 삽입되어 전송되는 거죠.

잠깐.. 비밀번호 뒤에 추가로 붙였던 '가 좀 위험해 보이지 않나요? 😱

🚧 SQL syntax error가 발생했어요. 추가로 입력한 '가 기존에 앞에 있던 '와 짝을 이루고, 기존에 뒤에 있던 '는 짝을 잃어 오류가 발생했네요.

어떻게 하면 Alice의 계정으로 로그인할 수 있을까요?🤔

PW에 password' or '1'='1을 입력하면 과연 SQL 쿼리에 어떻게 들어가는지 볼게요!

봐야할 곳은 PW = 'password' or '1'='1' 부분이에요. OR 연산을 아시나요?

둘 중 하나만 참이면 참이라고 할게~ 라는 넓은 마음의 연산자죠. 해석하면 비밀번호는 password고, 아니면 '1'='1'이야! 라는 뜻으로 바뀌고, '1'='1'은 참이기 때문에 OR 연산을 만나 결국 참이라고 생각해 로그인을 성공할 수 있게 됩니다! 😆

만약 ID에 Alice'; -- , PW에 abcde를 입력하면 SELECT * FROM users WHERE ID = 'Alice';--' AND PW = 'abcde'가 들어가고, SQL 에서는 double-dash(--)가 주석을 의미하므로 이후의 코드는 실행되지 않아 SELECT * FROM users WHERE username='Alice'; 가 실행됩니다.

SQL Injection은 어떻게 막을 수 있나요?

SQL Injection을 막는 방식은 여러 가지가 있습니다.

우선 대표적으로 매개변수화된 쿼리를 사용하는 방법이 있습니다. 해당 방식은 개발자가 먼저 모든 SQL 코드를 정의한 다음 나중에 각 매개변수를 쿼리에 전달하도록 해요. 만약 위의 예시처럼 비밀번호에 password' or '1'='1 을 입력해도 해커의 의도대로 실행되지 않고, 문자 그대로 문자열 password' or '1'='1 와 일치하는 비밀번호를 확인하는 것이죠. 🤨

그리고 단순히 몇 개의 차단 목록을 만드는 것보다 허용 목록을 만드는 것이 좋아요. 예를 들어 OR를 차단하면 || 을 사용하는 등의 차단 목록을 너무 약하면 손쉽게 우회가 가능하죠. 정규 표현식으로 허용된 패턴들만 사용하는 방법도 있습니다. ORM(Object-Relational Mapping)을 사용하는 것도 한 방법이에요. ORM 프레임워크는 프레임워크가 데이터를 필터링하므로 SQL Injection으로부터 보호합니다.

데이터베이스 접근 계정을 관리자 권한으로 사용하지 말고 제한된 기능만 수행하는 계정을 확용하여 쿼리를 수행하는 것도 보조적으로 사용할 수 있겠네요.

내년에 더 유익한 해킹 알려줄게로 찾아올게요! 원하는 주제가 있다면 언제든지 알려주세요! 😃

✏️ 해킹짹짹 뉴스레터에서 다루는 기술들은 오로지 교육적인 목적으로 사용되며, 이를 악용하여 발생하는 모든 책임은 본인에게 있습니다.

by y00n_nms

해킹짹짹 뉴스레터 후원하기(카카오페이)

지속해서 더 좋은 뉴스레터를 제공하기 위한 것으로 긍정적으로 생각해주시면 감사하겠습니다!

카카오뱅크 3333-21-5085994 ㅎㅅㅇ

오늘 전해드린 내용이 마음에 드셨나요?

주위 친구들에게 뉴스레터를 추천해주세요!

다음주에도 알찬 내용으로 돌아오겠습니다. 😙