[ SQL Injection ] Gremlin

sql query & php code

query값을 통해 받아오는 데이터를 활용하여 sql query로 만들어 db에 명령을 내리는 php 코드이다.

 

PHP 분석

---

 

중요하게 확인해야 할 부분은 필터링되는 부분인데,

5,6번째 줄을 확인하면 'preg_match'라는 함수가 활용되어있는 것을 볼 수 있다.

 

preg_match function description, PHP Official

preg_match 함수는 정규식 표현, 검색 대상 문자열, 일치배열 반환변수(선택) 등을 입력하면 입력된 정규식에 일치하는 함수를 찾아내는 내장함수다. 

 

정규식 분석

---

 

 

다시 돌아와 코드에 사용된 preg_match 함수의 정규식은 다음과 같다:

/prob|_|\.|\(\)/i

2개의 '/' 사이에 확인하고자 하는 값들을 '|'로 구분하여 작성하면 해당 값이 필터링된다. 마지막 '/' 뒤에 i의 경우 무시한다는 옵션을 준 것이다. 따라서 해석을 하자면 아래와 같게 정리된다:

 

"'prob'. '_', '.', '()'문자열들을 무시한다"

 

따라서 위의 값들을 사용하지 않는 쿼리문을 id나 pw 필드를 사용하여 전송하면 SQL Injection 취약점이 발견될 수 있을 것이다.

 

Injection

---

따라서 처음 시도한 Injection Code는 다음과 같다:

 

' OR LENGTH(id)!=0 #

'을 사용해서 앞선 쿼리문 문자열에서 열려있는 문자열기호(?)를 닫아주고 OR 옵션을 사용해 OR기준 앞이나 뒷 내용 둘중 하나만 일치해도 쿼리문이 모든 값을 뱉어낼 수 있도록 만들었다.

OR 뒤에는 id가 비어있지 않은 이상 무조건 true일 수 있도록 문자열의 길이가 0이 아닌 모든 값을 선택하도록 하는 코드를 작성하였다.

이후 뒷내용은 #을 사용해 주석처리하여 무시하도록 만들었다. 따라서 pw의 내용은 어떤 값이 들어가더라도 무시된다.

 

이후 확인한 모범 Injection Code는 다음과 같다:

 

' OR 1=1 #

비어있다고 하더라도 모든 값을 표시할 수 있도록 하기 위해 1=1을 입력하여 항상 true가 나오도록 설정되어있다. 

 

두 방법 모두 url query parameter를 통해 요청하면 다음과 같은 응답을 뱉어낸다:

 

 

How to Defence

---

 

생각해본 방법들은 다음과 같다:

 

1. %이나 #값으로 값이 들어오면 요청 자체를 취소

SQL Injection은 대부분 query 변조를 통해 들어오기 때문에, query에 특수문자를 입력하기위해 반드시 필요한 %문자를 애초에 막는다. 또한 쿼리문 주석을 유도하는 #문자 또한 금지시켜 의도한 코드의 실행중단을 방지한다. 다만 이 방법을 위해서는 비밀번호나 아이디에 %문자와 #문자 입력을 금지시켜야 한다.

 

2. 모든 특수문자 앞에 역슬레시 ('\') 붙이기

역슬레시를 특수문자 앞에 붙이게 되면 해당 값이 가지는 특별한 의미가 아닌 문자 자체의 의미로 컴퓨터가 해석하는 것이 가능하다. 따라서 모든 특수문자 앞에 역슬레시를 붙이면 위변조를 막을 수 있을 것이라 생각한다.