[ SQL Injection ] Goblin

728x90

query값을 통해 받아오는 데이터를 활용하여 sql query로 만들어 db에 명령을 내리는 php 코드이다.

앞의 2문제와는 달리 필터링 내용 및 쿼리 내용이 변경되었다.

우선 입력필드가 id & pw에서 id & no로 변경되었고, id값은 입력받는 값이 들어가지 않고 'guest'로 고정되어있다.

또한 필터링도 강화되어 no에 ',",`를 이용하여 문자열을 넣을 수 없다.

하지만 문제의 해결을 위해서는 id 필드의 값이 admin이어야 한다. 즉, 고정된 값을 변경할 수 있어야 한다.

[ SQL ] SQL 문법 실행순서

SQL 문법에는 구문 내 실행순서와 연산사 실행순서가 존재한다. SQL 구문의 경우에는 FROM > WHERE > GROUP BY > HAVING > SELECT > ORDER BY 순서로 실행된다. 즉, 아래와 같은 SQL 쿼리문이 존재할 경우: SELECT..

devwaffle.tistory.com

위에 SQL문법 실행 순서에 대하여 정리한 포스트를 연결해놓았는데, 그 이유가 이번 문제를 풀기위해 우선순위에 대한 이해가 필요하기 때문이다.

SQL 문법상 WHERE문에 적용되는 연산자별 우선순위는 AND가 OR보다 높다. 따라서 no에 OR로 이루어진 다음과 같은 SQL 쿼리를 작성하여 보내면 아래와 같이 필터링 조건이 변경된다:

0 OR id='admin'

1) id='guest'이고 no=0인 데이터

2) id='admin'인 데이터

혼자서는 방법을 찾지 못하여 강의자료와 구글링을 통해 SQL 우선순위 등에 대한 학습을 하여 다음 답안을 알아내었다

0 OR id='admin'

정상적으로 조건을 완성시켜주고, 뒤에 OR 조건을 붙여 WHERE을 통해 필터링 가능한 결과값에 대한 조건을 새로 추가하였다.

하지만 이 코드에는 문자열이 포함되어있기 때문에 필터링조건에서 문제가 된다. 따라서 위 코드의 문자열 'admin'을 16진수 문자열로 변환한다. (SQL이 16진수 문자열을 지원하기 때문)

0 OR id=0x61646D696E

생각해본 방법들은 다음과 같다.:

1. ' AND'나 ' OR'형태의 패턴을 가진 문자열이 포함된 요청을 전부 거부한다

공백 바로 다음에 연산자가 오는 패턴의 문자열과 함께 들어오는 모든 요청을 거부할 경우 WHERE절에 대한 수정이 불가능하므로 개발자의 의도대로 쿼리문 실행이 가능하다. 특수문자들 중 괄호까지 막으면 더욱 좋다.

2. 특수문자들 중 '=', '(', ')'도 함께 필터링한다

'=' 특수문자를 필터링 하면 다양한 공격들을 방어할 수 있다. 특히 비교문을 원천적으로 사용할 수 없기 때문에 연관된 모든 공격을 막을 수 있을 것이다. 또한 괄호를 함께 필터링하여 WHERE절의 쿼리문을 개발자의 의도대로 실행될 수 있도록 만들 수 있다.

3. 16진수 문자열을 일반 문자열로 변환하여 검사한다

16진수 문자열도 일반 문자열로 변환하여 다시 검사하게 된다면 위에 ',",`표식을 통해 문자열임을 명시하는 조건을 회피하는 것을 방지할 수 있다.

728x90

티스토리툴바