'sql 인젝션공격'에 해당되는 글 2건

  1. 2009.05.17 sqlmap: automatic SQL injection tool (2)
  2. 2008.04.30 sql 인젝션 공격 대량 공격

웹을 통한 인터넷 취약점 중에 SQL 인젝션 공격은 너무도 많이 알려져 있습니다. 하지만 아직도 SQL 인젝션 공격으로 인하여 침해사고를 당합니다.

오픈소스를 통하여 SQL 인젝션 공격을 검색할수 있는 툴이 있다. 그것이 바로 sqlmap 입니다..



요기에 가시면 자세한 내용을 보실수 있습니다.---->http://sqlmap.sourceforge.net/#docs 


sqlmap is an open source command-line automatic SQL injection tool. Its goal is to detect and take advantage of SQL injection vulnerabilities in web applications. Once it detects one or more SQL injections on the target host, the user can choose among a variety of options to perform an extensive back-end database management system fingerprint, retrieve DBMS session user and database, enumerate users, password hashes, privileges, databases, dump entire or user's specified DBMS tables/columns, run his own SQL statement, read or write either text or binary files on the file system, execute arbitrary commands on the operating system, establish an out-of-band stateful connection between the attacker box and the database server via Metasploit payload stager, database stored procedure buffer overflow exploitation or SMB relay attack and more.

sqlmap 에 대한 이용 매뉴얼도 같이 첨부합니다.








Posted by 엔시스

SQL 인젝션 공격이 다시 일어나고 있다.  일부 알려진 바로는 세계 유명한 국제기구 웹싸이트 까지 이 공격에 노출 되어 있는 것으로 알려 지고 있다.

사용자 삽입 이미지
            <가장 피해가 크다고 알려진 1.js 파일 구글에서 검색 >

참고 링크

http://cafe.naver.com/securityplus.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=9968
 

국내에서도 많은 싸이트들이 감염이 되어 있으며 앞으로 점점 늘어 나지 않을까 한다.  우선 보안담당자들은 빠른 조치를 취해야 하고, 해킹 기술이 빠르게 전파 되는 것이니만큼 주의를 기울여야 할 것이다.

우선 국가공공기관에서 부터 지자체, 교육기관등 국가 기관에서부터 먼저 관심을 갖어 주었으면 한다. 

아직까지 국가기관에서는 별다른 대응조치가 이루어지고 있지 않다. 일부에서는 언론에서
먼저 알아서 보안전문가들에게 조언을 구하는 해프닝까지 일어나고 있다.

국가사이버안전센터인터넷침해사고대응센터에서는 빨리 대응조치 방안을 마련하여 일선 기관과 민간기업에 전파를 하기 바란다.

자세한 사항은  대규모 웹싸이트 피해 발생 를 참고 하면 자세히 나와 있다. 옥션 피해가 채 가시기 전에 자꾸 안 좋은 소식만 들리는 같아 힘들긴 하겠지만  조속한 대응 조치를 국가에서 마련해 주기를 바란다.,

Posted by 엔시스