👮

SQL Injection 대응 방안

에러 메시지 노출 차단

공격자가 검색창에 의도적인 DB 에러 유발 쿼리 입력 후, 에러 메시지를 통해 DB 정보(MySQL, 컬럼 개수 등)를 알아내려는 공격 방지

입력 값 검증

사용자가 입력 가능한 특수문자 제한

특수문자 필터링

•

ex) input.replace(“--”, “”);

Prepared Statement

Statement vs PreparedStatement

•

Statement : SQL 쿼리에 사용하는 데이터를 직접 넣고 DB에 쿼리를 전송하는 방식

String sql = "select * from member where name = " + name + ";";

Statement statement = connection.createStatement();
statement.executeQuery(sql);
Java
복사

•

PreparedStatement : 데이터베이스에서 인자값이 비어있는 SQL 쿼리를 먼저 준비한 뒤에 필요한 파라미터를 바인딩하는 방식

String sql = "select * from member where name = ?;"

PreparedStatement preparedStatement = connection.preparedStatement(sql);
preparedStatement.setString(1, name);
Java
복사

JdbcTemplate, JPA

내부적으로 파라미터 바인딩 방식으로 동작하기 때문에 별다른 설정 없이 SQL Injection을 방지할 수 있다.

PreparedStatement(파라미터 바인딩) 실습

SQL Injection 발생 환경

•

JpaRepository 혹은 JPQL을 사용하면 위에서 언급한 이유로 인해 SQL Injection 발생 상황을 테스트할 수 없다.

•

Native 쿼리를 직접 작성하는 상황이라면 SQL Injection 문제가 발생할 수 있다. 이를 이용하여 SQL Injection 발생 환경을 세팅한다.

JPA의 Native 쿼리 옵션 사용

•

@Query 어노테이션의 nativeQuery = true  옵션

JdbcTemplate(PreparedStatement 방식)을 사용하면서 파라미터 바인딩이 아니라, SQL 쿼리문에 인자값을 직접 문자열 concat으로 추가해서 작성된 쿼리를 DB에 전송

•

파라미터 바인딩(SQL Injection 방지)

◦

"WHERE content LIKE ?”

•

문자열 concat(SQL Injection 방지 X)

◦

"WHERE content LIKE '%" + keyword + "%' “

실습 내용

•

다음과 같은 SQL Injection 유발 쿼리를 작성하고 DB에 전송한다.

create table eden (id int not null auto_increment, name varchar(255), primary key(id));

-- SQL Inejection 유발 쿼리
insert into eden (id, name) values (1, 'morak2'); drop table test; --'';
SQL
복사

◦

문자열 concat 방식과 파라미터 바인딩 방식으로 각각 쿼리를 전송했을 때, 데이터베이스에서 어떤 차이로 인해 SQL Injection이 성공 혹은 실패하는지 확인한다.

문자열 concat 방식

String sql = "insert into eden (id, name) values (1, " + name + ");";
Java
복사

파라미터 바인딩 방식

// JpaRepository
edenRepository.save(new Eden(null, "morak2'); drop table test; --'"));
Java
복사

•

데이터베이스는 MySQL을 기준으로 한다.

실습 결과

문자열 concat 방식

•

SQL SyntaxError가 발생한다.

◦

MySQL 서버에서 해당 쿼리를 직접 입력하면 테이블이 drop된다. → 쿼리 자체에는 문제 X

◦

그렇다면 어플리케이션 단에서는 왜 SyntaxError가 발생할까?

▪

이브와 세운 가설 - SQL 쿼리가 2개 이상이면 결과 역시 2개 이상이 된다. 하나의 JdbcTemplate 메소드로 여러 결과를 처리할 수 없어서 이러한 쿼리는 JdbcTemplate에서 SyntaxError를 발생시킨다.

•

그럼 JdbcTemplate을 사용하면 SQL Injection이 무조건 방지되나?

◦

조회 쿼리에서 or 1=1;—과 같은 값을 입력하면, 조회 결과는 하나지만 조건식 결과가 무조건 참이므로 테이블의 모든 레코드를 조회해오게 된다. 즉, SQL Injection이 성공한다.

파라미터 바인딩 방식

•

Hibernate 로그

•

MySQL 서버 쿼리 로그

2022-12-08T07:18:54.504132Z	  559 Query	SET autocommit=0
2022-12-08T07:18:54.536313Z	  559 Query	insert into eden (name) values ('morak2''); drop table test; —''')
2022-12-08T07:18:54.551643Z	  559 Query	commit
2022-12-08T07:18:54.556176Z	  559 Query	SET autocommit=1
Shell
복사

•

MySQL 기준, 데이터베이스에서 파라미터가 바인딩 될 자리의 앞뒤로 (’ 와 ‘)를 추가한다.

•

바인딩 될 파라미터가 입력되면, ‘(작은 따옴표)같은 특수문자는 문자열(파라미터)로써 SQL에 바인딩 될 수 있도록 MySQL에서 특수문자 앞에 이스케이프 문자를 추가한다.

◦

이때 추가되는 이스케이프 문자는 터미널에서 확인하기에 작은 따옴표와 차이가 없다. 아마 보기에는 작은 따옴표와 똑같지만 MySQL 내부적으로 인코딩 넘버가 다른 별도의 이스케이프 문자일 것으로 추정

•

결과적으로 SQL Injection이 방지된다.