SQL Injection 의 대응법 2탄 [프로그램 EXE] > MSSQL Tip

본문 바로가기
사이트 내 전체검색

당신의 IP 주소는 ec2-3-238-147-211.compute-1.amazonaws.com 입니다.

 
  MSSQL Tip  Home  > backup > MSSQL Tip 
 

SQL Injection 의 대응법 2탄 [프로그램 EXE]

페이지 정보

작성자 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 댓글 0건 조회 9,456회 작성일 09-01-17 12:10

본문

SQL Injection 의 대응법 2탄 [프로그램 EXE]
글쓴이 최백호
글정보 Hit : 593, Date : 2008/11/27 17:31
btn_print.gif



















본 프로그램은 SQL Injection에 피해받은 데이터베이스  복구모듈을 제공한다.
--사용법--

1. 현재데이터베이스를 손실에 대비하여 백업한다.
2. 연결문자열을 완성한후 연결버튼을 누른다.
3. 연결이 되면 테이블목록이 표시되고 선택한 테이블에 대한 필드가 리스트에 표시된다,
3. 해킹된 문자열을 입력한다.
4. 전체를 체크하면 전체테이블을 체크를 해제하면 현재선택한 테이블만 변경한다.한다.
5. 변환 실패테이블에 등록된 테이블은 별도 쿼리분석기등을 사용하여 개별 실행한다.

[참고]

백업한 데이터베이스가 있다면 본 프로그램을 사용하지 않아도 된다.
SQL Injection을 검색하면 다양한 복구방법을 찾을 수 있다.
첨부된 VB6KO.DLL을 c:\window\system32에 카피하면 VB가 없어도 실행할 수 있다.

본프로그램은 아래와 같은 이유로 100%변환을 보장하지 못한다.
본프로그램시작버튼로직은
필드명=replace(cast(필드명 as varchar(8000)),'<** src=http://webarty.com/s.js>**>','')
을 수행한다.(주의) 필드자료가 8000이 넘는경우 잘릴 수 있다.

실데이터   : 홍길동입니다.
해킹데이터 : 홍길동<** src=http://webarty.com/s.js>**>.
변환데이터 : 홍길동.
따라서 데이터손실은 감수해야 한다.
운이 좋아 아래와 같이 뒤에 해킹문자열이 붙는 경우는 변환은 성공일 것이다.
실데이터   : 홍길동입니다.
해킹데이터 : 홍길동입니다.<** src=http://webarty.com/s.js>**>
변환데이터 : 홍길동입니다.
SQL Injection은 예방이 최선이다.
[예방]
1. 최대한 stored procedure로 쿼리를 작성한다.
2. 소스내에 쿼리를 사용하면 넘겨온 파라메터를 모두 검증해야 한다.
3. 쿠키나 세션변수또한 검증해야 한다.

asp code
Function ConvertString(str as string)
 if str <> "" then
  str = replace(str,"'","")
  str = replace(str,";","")
  str = replace(str,"--","")
  str = replace(str,"#","")
  str = replace(str,"\\","")
  str = replace(str,"&","")
  str = replace(str,"<","")
  str = replace(str,">","")
  str = replace(str,"(","")
  str = replace(str,")","")
  str = replace(str,"=","")
 end if
 ConvertString = str
End Function
c# code
protected string ConvertString(string str)
{
        if (str == null) return null;
        str.Replace("'", "");
        str.Replace(";", "");
        str.Replace("--", "");
        str.Replace("#", "");
        str.Replace("\\", "");
        str.Replace("&", "");
        str.Replace("<", "");
        str.Replace(">", "");
        str.Replace("(", "");
        str.Replace(")", "");
        str.Replace("=", "");
        return str;
}   
 

현재 게시글에 1 개의 파일이 첨부되어 있습니다.
icon_file.gif webarty.zip (768 KB)(35) 

첨부파일

  • webarty.zip (767.6K) 84회 다운로드 | DATE : 2009-01-17 12:40:08

댓글목록

등록된 댓글이 없습니다.

Total 12건 1 페이지
MSSQL Tip 목록
번호 제목 글쓴이 조회 날짜
12 no_profile 최고관리자 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 6974 11-29
11 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 10596 02-22
10 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 8954 02-22
9 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 10898 02-22
8 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 12218 02-05
7 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 8196 01-20
6 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 11027 01-17
5 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 10652 01-17
4 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 9467 01-17
3 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 9314 01-17
열람중 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 9457 01-17
1 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 9233 01-17
게시물 검색

회원로그인

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 


원격 접속 지원 받기

최근 동영상

홈페이지 구축전문 휴먼소프트  
 
휴먼소프트 / 대표: 차동박 / 사업자등록번호: 621-19-75917 / e_mail: human@humansoft.kr
Tel: (051) 636-6311 / H.P: 010-3381-0218 / 통신판매업 등록번호 제 2012-부산남구-45호
주소: 부산광역시 남구 우암로 362번길 32(문현동) 휴먼소프트
Copyright: (c) 휴먼소프트 2011 All right reserved.   Powered byHumansoft