ASP.NET에서 SQL 주입 공격을 방지하는 방법

1. SQL 인젝션 공격이란?

SQL 인젝션 공격은 공격자가 웹 양식의 입력 필드나 페이지 요청의 쿼리 문자열에 SQL 명령을 삽입하여 서버를 속여 악성 SQL 명령을 실행하도록 하는 공격입니다. 일부 형식에서는 사용자 입력이 동적 SQL 명령을 구성(또는 영향을 미치기)하는 데 직접 사용되거나 저장 프로시저에 대한 입력 매개 변수로 사용됩니다. 이러한 형식은 특히 SQL 삽입 공격에 취약합니다. 일반적인 SQL 주입 공격 프로세스는 다음과 같습니다.

　⑴ ASP.NET 웹 애플리케이션에는 로그인 페이지가 있습니다. 이 로그인 페이지는 사용자가 애플리케이션에 액세스할 수 있는 권한이 있는지 여부를 제어합니다. 비밀번호.

　⑵ 로그인 페이지에 입력한 내용은 동적 SQL 명령을 구성하는 데 직접 사용되거나 저장 프로시저의 매개 변수로 직접 사용됩니다. 다음은 ASP.NET 애플리케이션으로 구성된 쿼리의 예입니다.

System.Text.StringBuilder query = new System.Text.StringBuilder(
　"SELECT * from Users WHERE login = '")
　.Append(txtLogin.Text).Append("' AND password='")
　.Append(txtPassword.Text).Append("'");

　⑶ 공격자는 사용자 이름과 비밀번호 입력에 "' 또는 '1'='1"을 입력합니다. 상자.

　⑷ 사용자가 입력한 콘텐츠가 서버에 제출된 후 서버는 위의 ASP.NET 코드를 실행하여 사용자에게 쿼리하는 SQL 명령을 구성합니다. 특수한 경우 최종 SQL 명령은 :SELECT * from Users WHERE login = '' 또는 '1'='1' AND 비밀번호 = '' 또는 '1'='1'이 됩니다.

　⑸ 서버는 사용자가 입력한 신원 정보와 서버에 저장된 신원 정보를 비교하기 위해 쿼리나 저장 프로시저를 실행합니다.

　⑹ SQL 명령이 실제로 인젝션 공격에 의해 수정되었기 때문에 사용자의 신원을 제대로 확인할 수 없으므로 시스템이 공격자를 잘못 인증하게 됩니다.

공격자가 애플리케이션이 양식에 입력된 내용을 신원 확인 쿼리에 직접 사용할 것이라는 사실을 알고 있는 경우, 그는 일부 특수 SQL 문자열을 입력하여 쿼리를 변조하여 원래 기능을 변경하고 시스템을 속이려고 시도합니다. 액세스 권한을 부여합니다.

시스템 환경에 따라 공격자가 입힐 수 있는 피해도 달라지는데, 이는 주로 데이터베이스에 접근하는 애플리케이션의 보안 권한에 따라 결정됩니다. 사용자 계정에 관리자 또는 기타 비교적 고급 권한이 있는 경우 공격자는 데이터 추가, 삭제, 업데이트 또는 테이블 직접 삭제를 포함하여 데이터베이스 테이블에 대해 원하는 다양한 작업을 수행할 수 있습니다. 

2. 어떻게 예방할 수 있나요?

다행히 SQL 삽입 공격으로 인해 ASP.NET 애플리케이션이 손상되는 것을 방지하는 것은 특별히 어렵지 않습니다. 양식 입력 콘텐츠를 사용하여 SQL 명령을 구성하기 전에 모든 입력 콘텐츠를 필터링하면 됩니다. 그것. 입력 필터링은 다양한 방법으로 수행할 수 있습니다.

⑴ SQL 쿼리를 동적으로 구성하려면 다음 기술을 사용할 수 있습니다.

첫 번째: 작은따옴표 바꾸기, 즉 단독으로 나타나는 모든 작은따옴표를 두 개의 작은따옴표로 변경하여 공격자가 SQL 명령의 의미를 수정합니다. 이전 예를 다시 살펴보면 "SELECT * from Users WHERE login = ''' or ''1''=''1' AND 비밀번호 = ''' or ''1''=''1'"은 분명히 다음과 같은 결과를 얻을 것입니다. 동일한 "SELECT * from Users WHERE 로그인 = '' 또는 '1'='1' AND 비밀번호 = '' 또는 '1'='1'" 다른 결과.

두 번째: 공격자가 "SELECT * from Users WHERE 로그인 = 'mas' -- AND 비밀번호 =''"와 같은 쿼리를 구성하지 못하도록 사용자 입력에서 모든 하이픈을 제거합니다. 쿼리가 주석 처리되어 더 이상 유효하지 않은 경우 공격자는 합법적인 사용자 로그인 이름만 알면 되며 성공적으로 액세스하기 위해 사용자의 비밀번호를 알 필요는 없습니다.

셋째: 쿼리 실행에 사용되는 데이터베이스 계정의 권한을 제한합니다. 다른 사용자 계정을 사용하여 쿼리, 삽입, 업데이트 및 삭제 작업을 수행합니다. 서로 다른 계정에서 수행할 수 있는 작업을 격리함으로써 원래 SELECT 명령을 실행하는 데 사용된 위치가 INSERT, UPDATE 또는 DELETE 명령을 실행하는 데 사용되는 것을 방지합니다.

⑵ 모든 쿼리를 실행하려면 저장 프로시저를 사용하세요.

SQL 매개변수가 전달되는 방식은 공격자가 작은따옴표와 하이픈을 사용하여 공격을 수행하는 것을 방지합니다. 또한 특정 저장 프로시저만 실행하도록 데이터베이스 권한을 제한할 수 있습니다. 모든 사용자 입력은 호출된 저장 프로시저의 보안 컨텍스트를 준수해야 하므로 주입 공격이 발생하기 어렵습니다.　　

⑶ 폼이나 쿼리 문자열 입력 길이를 제한하세요.

사용자의 로그인 이름이 최대 10자인 경우 양식에 입력된 10자를 초과하면 공격자가 SQL 명령에 유해한 코드를 삽입하기가 훨씬 어려워집니다.

⑷ 사용자 입력의 적법성을 확인하고 입력 내용에 합법적인 데이터만 포함되어 있는지 확인하세요.

데이터 확인은 클라이언트측과 서버측 모두에서 수행되어야 합니다. 서버측 검증은 클라이언트측 검증 메커니즘의 취약한 보안을 보완하기 위해 수행됩니다.

클라이언트 측에서는 공격자가 웹페이지의 소스코드를 탈취하고, 적법성을 검증하는 스크립트를 수정(혹은 스크립트를 직접 삭제)한 후, 수정된 악성코드를 통해 서버에 불법 콘텐츠를 제출하는 행위가 전적으로 가능합니다. 형태. 따라서 검증 작업이 실제로 수행되었는지 확인하는 유일한 방법은 서버 측에서도 검증을 수행하는 것입니다. 유효성 검사를 위한 클라이언트 측 스크립트를 자동으로 생성할 수 있는 RegularExpressionValidator와 같은 다양한 내장 유효성 검사 개체를 사용할 수 있으며 물론 서버 측 메서드 호출을 삽입할 수도 있습니다. 미리 만들어진 유효성 검사 개체를 찾을 수 없는 경우 CustomValidator를 통해 직접 만들 수 있습니다.​ ​

⑸ 사용자의 로그인 이름, 비밀번호, 기타 데이터를 암호화하여 저장합니다.

사용자가 입력한 데이터를 암호화한 후 데이터베이스에 저장된 데이터와 비교합니다. 이는 사용자가 입력한 데이터를 "멸균"하는 것과 같습니다. 즉, 공격자가 SQL 명령을 삽입하는 것을 방지합니다. System.Web.Security.FormsAuthentication 클래스에는 입력 데이터를 삭제하는 데 매우 적합한 HashPasswordForStoringInConfigFile이 있습니다.　　

⑹ 데이터를 추출하는 쿼리에서 반환된 레코드 수를 확인하세요.

프로그램에서 하나의 레코드만 반환하도록 요청했지만 실제 반환된 레코드가 두 행 이상인 경우 오류로 처리됩니다.

위 내용은 ASP.NET이 SQL 주입 공격을 방지하는 방법입니다. 모든 분들의 학습에 도움이 되기를 바랍니다.

ASP.NET이 SQL 주입 공격을 방지하는 방법에 대한 더 많은 기사를 보려면 PHP 중국어 웹사이트를 주목하세요!