SQL Injection 의 대응법 2탄 [프로그램 EXE] > MSSQL Tip

본문 바로가기
 

SQL Injection 의 대응법 2탄 [프로그램 EXE]

페이지 정보

작성자 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 댓글 0건 조회 16,411회 작성일 09-01-17 12:10

본문

SQL Injection 의 대응법 2탄 [프로그램 EXE]
글쓴이 최백호
글정보 Hit : 593, Date : 2008/11/27 17:31
btn_print.gif



















본 프로그램은 SQL Injection에 피해받은 데이터베이스  복구모듈을 제공한다.
--사용법--

1. 현재데이터베이스를 손실에 대비하여 백업한다.
2. 연결문자열을 완성한후 연결버튼을 누른다.
3. 연결이 되면 테이블목록이 표시되고 선택한 테이블에 대한 필드가 리스트에 표시된다,
3. 해킹된 문자열을 입력한다.
4. 전체를 체크하면 전체테이블을 체크를 해제하면 현재선택한 테이블만 변경한다.한다.
5. 변환 실패테이블에 등록된 테이블은 별도 쿼리분석기등을 사용하여 개별 실행한다.

[참고]

백업한 데이터베이스가 있다면 본 프로그램을 사용하지 않아도 된다.
SQL Injection을 검색하면 다양한 복구방법을 찾을 수 있다.
첨부된 VB6KO.DLL을 c:\window\system32에 카피하면 VB가 없어도 실행할 수 있다.

본프로그램은 아래와 같은 이유로 100%변환을 보장하지 못한다.
본프로그램시작버튼로직은
필드명=replace(cast(필드명 as varchar(8000)),'<** src=http://webarty.com/s.js>**>','')
을 수행한다.(주의) 필드자료가 8000이 넘는경우 잘릴 수 있다.

실데이터   : 홍길동입니다.
해킹데이터 : 홍길동<** src=http://webarty.com/s.js>**>.
변환데이터 : 홍길동.
따라서 데이터손실은 감수해야 한다.
운이 좋아 아래와 같이 뒤에 해킹문자열이 붙는 경우는 변환은 성공일 것이다.
실데이터   : 홍길동입니다.
해킹데이터 : 홍길동입니다.<** src=http://webarty.com/s.js>**>
변환데이터 : 홍길동입니다.
SQL Injection은 예방이 최선이다.
[예방]
1. 최대한 stored procedure로 쿼리를 작성한다.
2. 소스내에 쿼리를 사용하면 넘겨온 파라메터를 모두 검증해야 한다.
3. 쿠키나 세션변수또한 검증해야 한다.

asp code
Function ConvertString(str as string)
 if str <> "" then
  str = replace(str,"'","")
  str = replace(str,";","")
  str = replace(str,"--","")
  str = replace(str,"#","")
  str = replace(str,"\\","")
  str = replace(str,"&","")
  str = replace(str,"<","")
  str = replace(str,">","")
  str = replace(str,"(","")
  str = replace(str,")","")
  str = replace(str,"=","")
 end if
 ConvertString = str
End Function
c# code
protected string ConvertString(string str)
{
        if (str == null) return null;
        str.Replace("'", "");
        str.Replace(";", "");
        str.Replace("--", "");
        str.Replace("#", "");
        str.Replace("\\", "");
        str.Replace("&", "");
        str.Replace("<", "");
        str.Replace(">", "");
        str.Replace("(", "");
        str.Replace(")", "");
        str.Replace("=", "");
        return str;
}   
 

현재 게시글에 1 개의 파일이 첨부되어 있습니다.
icon_file.gif webarty.zip (768 KB)(35) 

첨부파일

  • webarty.zip (767.6K) 85회 다운로드 | DATE : 2009-01-17 12:40:08

댓글목록

등록된 댓글이 없습니다.

Total 12건 1 페이지
MSSQL Tip 목록
번호 제목 글쓴이 조회 날짜
12 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 10996 01-17
열람중 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 16412 01-17
10 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 15390 01-17
9 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 16588 01-17
8 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 17020 01-17
7 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 16612 01-17
6 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 9911 01-20
5 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 18060 02-05
4 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 16169 02-22
3 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 10611 02-22
2 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 16325 02-22
1 no_profile 최고관리자 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 11024 11-29
게시물 검색