동적쿼리 SQL Injection
-
[MSSQL] 프로시저 동적쿼리 작성시 SQL Injection 우회 방법DB 2019. 6. 3. 23:37
팀Slack방에 에러가 올라와서 Kibana에서 trace를 찾아보니 상품명 조회 파라미터에 ' (싱글쿼터)가 들어 온 것이었다. " 엥? lucy필터를 사용하고 있을탠대??? "(lucy필터는 네이버에서 만든 XSS 방지 라이브러리이다) 싱글쿼터가 들어오면 오면 치환이 되어야 됬는대 안된 것이다. 싱글쿼터가 들어오게되면 SQL Injection에 취약해 질수 있기 때문에 매우 위험한 상황이었다. (최근에 "여기어*" 라는 숙박 서비스가 SQL Injection으로 약 100만명의 정보가 유출된 사건도 있었다.) 그래서 우리팀의 담당하고 있는 매뉴들에 대해서 a' or 1=1 or 'a'='a와 같은 문자열을 입력하니. 모든 데이터가 촥! ...OTL 이제서야 알게되었지만 lucy필터는 form-data..