ASP 코드에서 SQL 삽입 공격 취약점을 찾을 수 있는 분석툴 > MSSQL Tip

본문 바로가기
사이트 내 전체검색

 
  MSSQL Tip  Home  > backup > MSSQL Tip 
 

ASP 코드에서 SQL 삽입 공격 취약점을 찾을 수 있는 분석툴

페이지 정보

작성자 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 댓글 0건 조회 7,601회 작성일 09-01-17 13:22

본문

Microsoft Source Code Analyzer for SQL Injection 도구에 대해 설명합니다. 이 정적 코드 분석 도구를 사용하여 ASP 코드에서 SQL 삽입 공격 취약점을 찾을 수 있습니다.

ASP 코드의 SQL 삽입 공격 문제

ASP 코드의 Request.Form 또는 Request.Querystring 컬렉션에서 사용자가 제공한 데이터가 데이터 유효성 검사 없이 동적 SQL 문을 만드는 데 사용되는 경우 공격자가 SQL 명령을 SQL 문에 삽입하고 악용할 수 있습니다. 이를 일반적으로 1차 SQL 삽입 공격 취약점이라고 합니다.

한 ASP 페이지를 사용하여 데이터베이스에 저장된 사용자 입력이 데이터베이스에서 검색된 다음 다른 ASP 페이지에서 동적 SQL 문을 만드는 데 사용되는 경우 공격자가 SQL 명령을 SQL 문에 삽입하고 악용할 수 있습니다. 이를 일반적으로 2차 SQL 삽입 공격 취약점이라고 합니다.

이러한 취약점을 줄이려면 매개 변수가 있는 SQL 쿼리를 사용하는 것이 가장 좋습니다. ASP의 SQL 삽입 공격 취약점과 이러한 취약점을 줄이는 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://msdn.microsoft.com/en-us/library/cc676512.aspx (http://msdn.microsoft.com/en-us/library/cc676512.aspx)(영문)
Microsoft Source Code Analyzer for SQL Injection 도구는 이러한 문제 중 일부를 자동으로 찾는 데 도움이 됩니다.

사용법

이 도구는 다음 구문을 사용합니다.
msscasi_asp.exe [/nologo] [/quiet] [/suppress=num;..;num] [/GlobalAsaPath=path] [/IncludePaths=path;..;path] /Input=file.asp


매개 변수 목록

매개 변수 옵션 설명
/GlobalAsaPath 경로 Global.asa 파일의 경로를 표시합니다.
/IncludePaths 경로 가상 경로를 사용하여 포함된 파일을 확인하기 위한 세미콜론으로 구분된 경로를 표시합니다.
/input ASP 파일 분석해야 하는 ASP 파일의 절대 경로를 표시합니다.
/suppress warnings
경고가 보고되지 않습니다.
/nologo
도구 로고가 표시되지 않습니다.
/quiet
구문 분석 오류가 표시되지 않습니다. /nologo/quiet 스위치를 사용하는 경우 경고 메시지만 표시됩니다.

예제.

MSSCASI_ASP /input="c:\source\logon.asp"
MSSCASI_ASP /GlobalAsaPath="C:\source" /input="c:\source\webitems\display.asp"
MSSCASI_ASP /GlobalAsaPath="C:\source" /input="c:\source\webitems\display.asp" /IncludePaths="C:\virtualdirectory1;C:\virtualdirectory2"
MSSCASI_ASP /input="c:\source\webitems\display.asp" /suppress="80406;80407"


첨부파일

댓글목록

등록된 댓글이 없습니다.

Total 12건 1 페이지
MSSQL Tip 목록
번호 제목 글쓴이 조회 날짜
12 no_profile 최고관리자 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 4737 11-29
11 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 7638 02-22
10 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 6709 02-22
9 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 7793 02-22
8 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 9148 02-05
7 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 5906 01-20
6 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 7973 01-17
열람중 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 7602 01-17
4 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 6399 01-17
3 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 6248 01-17
2 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 6367 01-17
1 no_profile 휴먼 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 7024 01-17
게시물 검색

회원로그인

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 


원격 접속 지원 받기

최근 동영상

홈페이지 구축전문 휴먼소프트  
 
휴먼소프트 / 대표: 차동박 / 사업자등록번호: 621-19-75917 / e_mail: human@humansoft.kr
Tel: (051) 636-6311 / H.P: 010-3381-0218 / 통신판매업 등록번호 제 2012-부산남구-45호
주소: 부산광역시 남구 우암로 362번길 32(문현동) 휴먼소프트
Copyright: (c) 휴먼소프트 2011 All right reserved.   Powered byHumansoft