ITEASY

닫기

추천 검색어
# 클라우드
# VPN
# 무료서비스
# 호스팅
# 이벤트
닫기정보보호 관리체계 인증(ISMS)

이전 단계

보안/패치

SQL Injection공격으로 인한 악성코드 삽입피해 주의요망

2008. 10. 30

안녕하세요. KSIDC IDC운영팀입니다.
SQL Injection공격으로 인한 홈페이지 내 악성코드 삽입피해 주의요망됩니다.
아래의 내용을 꼭 숙지하시고 보안업데이트를 해주시기 바랍니다.
 
□ 개요

  o 최근 Windows 기반 웹사이트를 대상으로 SQL Injection 취약점을 공격하는  해킹도구를 통해
    데이터베이스내에 악성코드를 대량으로 삽입하는 사례가  빈번히 발생하고 있어 홈페이지 관리
    자들의 각별한 주의가 요구됨
    ※ 해당 해킹도구는 일부 웹 보안 장비의 보안기능을 우회할 수도 있으므로  주의가 필요

□ 피해 현상
 
  o  홈페이지 초기화면에 정적(Static)으로 악성코드가 은닉되는 것이 아니라,  데이터베이스 내
    악성코드 링크를 삽입함으로써 해당 데이터베이스와 연동된 게시판, 상품정보 등 웹 페이지에 악
    성코드가 동적(Dynamic)으로 삽입됨
 
 

□ 원인 

  o  게시판이나 회원 인증 등 웹서비스와 데이터베이스가 연동되는 부분에서 전달되는 인자값에 대
   한 검증절차 부재로 인해 악의적인 SQL 명령어 주입이 가능하게 됨 (SQL Injection 취약점) 
  o  특히, 최근에는 웹 사이트를 통해 유포되는 악성코드는 쿠키 등 HTTP 헤더정보를 통해서도 삽
   입되고 있고, 일부 웹 보안장비의 보안기능을 우회할 수도 있으므로 각별한 주의가 필요 

   

□ (피해 발생시) 복구방법 

  o 데이터베이스 백업본 사용
    - 데이터베이스 백업본이 있을 경우 복구에 활용 
  o 악성코드가 삽입된 테이블을 모두 찾아 SQL명령문으로 복구 
   - 반드시 데이터베이스 관리자/개발자와 충분히 검토한 후에 적용 요망 
   - 자료형 변환이 필요 없는 경우 replace함수만으로 복구 가능 
 

Update [테이블명] set [컬럼명]=replace([컬럼명],‘[삭제하고자하는 악성코드 문자열]’, ‘’)

예> Update freebbs set title=replace(title,‘ , ‘’)


   - 자료형 변환이 필요한 경우는 cast함수를 이용하여 복구
 

Update [테이블명] Set [컬럼명] = replace(cast([컬럼명] as varchar(8000)), ‘[삭제하고자하는 악성코드 문자열]’, ‘’)

예> Update freebbs Set contents = replace(cast(contents as varchar(8000)),‘ , ‘’)

       ※ 컬럼의 자료형(data type)이 ntext, image 등인 경우 cast함수를 사용하여 자료형 변

          환 후 replace가능하지만, replace를 위한 변수 공간(varchar(8000)) 보다 큰 자료의

          경우 자료 손실이 발생 할 수 있으므로 주의 요망. MS SQL 2005 이상에서는 varchar

          (max)사용 가능


   - MS SQL 서버에서 사용하는 큰값 자료형 참조 자료

    [1] 큰 값 자료형 설명:
                  http://msdn.microsoft.com/ko-kr/library/ms178158.aspx
    [2] UPDATETEXT 설명:
                  http://msdn.microsoft.com/ko-kr/library/ms189466.aspx

□ 예방대책 

  o 근본적인 해결을 위해 모든 변수값에 유효값 검증 절차 적용
  o 웹사이트에서 사용하는 DB권한의 최소화 및 SA계정 사용 제한 등의 SQL서버 최적화
  o 웹 보안 솔루션 도입 및 정책 최적화 
   - MS URLscan 관련 자료
     [1] URLscan 사용방법: http://support.microsoft.com/kb/326444/ko
     [2] URLscan 다운로드: http://www.microsoft.com/downloads/details.aspx?FamilyId=EE41818F-3363-4E24-9940-321603531989&displaylang=en
 ※ URLscan은 웹방화벽과 유사하며 서버로 전달되는 값들의 필터링 기능이 지원됨 
   - 공개웹방화벽 관련 자료
     [1] 사용자 커뮤니티: 
           www.securenet.or.kr > 열린지식 > 공개웹방화벽커뮤니티
   ※ WebKnight에서는 헤더설정의 Injection공격 차단이 설정되어 있어야 차단 가능하며, 오탐발생
       이 예상되므로, 적용 후 일정기간 모니터링 필요
    
    
     
 
  o 웹사이트 보안 강화 가이드 
     - 웹보안 4종 가이드: www.KrCERT.or.kr접속 > 웹보안 4종 가이드
 
  o 웹사이트 취약점 점검
   - KISA 무료 웹취약점점검 서비스 http://webcheck.krcert.or.kr
   ※ 비영리단체 또는 중소기업등의 정보보호취약계층만 서비스 대상임
   - MS 소스코드 검사 도구: http://support.microsoft.com/default.aspx/kb/954476
   - HP 점검 도구: http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx
   o  MS SQL서버에서 sysobjects 또는 syscolumns 권한을 제거하여 악성코드 삽입
     스크립트 실행을 차단할 수 있으나, 운영 환경에 따라 적용 효과에 차이가 있으므로
     추후에 배포될 기술문서에서 안내예정

 □ 참고사이트

  [1] http://isc.sans.org/diary.html?storyid=3823
  [2] http://isc.sans.org/diary.html?storyid=5092
  [3] http://www.modsecurity.org/blog/archives/2008/01/sql_injection_a.html
  [4] http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=16&articleId=9055858&intsrc=hm_topic
  [5] http://www.trustedsource.org/blog/142/New-SQL-Injection-Attack-Infecting-Machines
  [6] http://www.f-secure.com/weblog/archives/00001432.html 
 
출처 : 한국인터넷진흥원
이전 글 [MS 긴급 보안업데이트] Server Service 취약점 관련패치

2008. 10. 30
다음 글 [MS 보안업데이트]2008년 10월 MS 월간 보안업데이트 권고

2008. 10. 15

목록

무엇이든 물어보세요

아이티이지 전문가가 궁금하신 점을 쉽고 빠르게 해결해 드리겠습니다.

고객센터 1600-8324
내선번호

  • 내선 1 서버 / IDC

  • 내선 2 클라우드

  • 내선 3 관리대행 / ITO

  • 내선 4 도메인

  • 내선 5 보안 서비스 문의

  • 내선 6 문자 / 카카오비즈메시지

  • 내선 7 Microsoft365

  • 내선 8 마케팅/서비스 제휴

  • 내선 9 홈페이지 제작

  • 내선 0 기타서비스

  • 내선 11 긴급 장애

휴일 긴급 연락처010-3124-8320

평일 9:00~18:00 (IDC 긴급 장애처리 24시간 운영)

FAX 02-6264-8321

문의하기
팝업닫기