SQL은 DBMS에 데이터를 질의하는 언어이다. 웹 서비스는 이용자의 입력을 SQL 구문에 포함해 요청하는 경우가 있다. 예를 들면, 로그인 시에 ID/PW를 포함하거나, 게시글의 제목과 내용을 SQL 구문에 포함한다.
다음 코드는 로그인 할 때 애플리케이션이 DBMS에 질의하는 예시 쿼리이다.
/*
아래 쿼리 질의는 다음과 같은 의미를 가지고 있습니다.
- SELECT: 조회 명령어
- *: 테이블의 모든 컬럼 조회
- FROM accounts: accounts 테이블 에서 데이터를 조회할 것이라고 지정
- WHERE user_id='user' and user_pw='password': user_id 컬럼이 user이고, user_pw 컬럼이 password인 데이터로 범위 지정
즉, 이를 해석하면 DBMS에 저장된 accounts 테이블에서 이용자의 아이디가 user이고, 비밀번호가 password인 데이터를 조회
*/
SELECT * FROM accounts WHERE user_id='user' and user_pw='password'
다음 코드는 SQL Injection으로 조작한 쿼리문의 예시이다.
/*
아래 쿼리 질의는 다음과 같은 의미를 가지고 있습니다.
- SELECT: 조회 명령어
- *: 테이블의 모든 컬럼 조회
- FROM accounts: accounts 테이블 에서 데이터를 조회할 것이라고 지정
- WHERE user_id='admin': user_id 컬럼이 admin인 데이터로 범위 지정
즉, 이를 해석하면 DBMS에 저장된 accounts 테이블에서 이용자의 아이디가 admin인 데이터를 조회
*/
SELECT * FROM accounts WHERE user_id='admin'
쿼리를 살펴보면, user_pw조건문이 사라진 것을 확인할 수 있다. 조작한 쿼리를 통해 질의하면 DBMS는 ID가 admin인 계정의 비밀번호를 비교하지 않고 해당 계정의 정보를 반환하기 때문에 이용자는 admin 계정으로 로그인할 수 있다.
Simple SQL Injection
아이디와 비밀번호를 입력받고 DBMS에 조회하기 위한 쿼리를 생성한다.
user_table은 다음과 같이 구현되어 있다.
uid
upw
guest
guest
admin
************
목표는 쿼리 질의를 통해 admin 결과를 반환하는 것이다. SQL Injection 공격에서 제일 중요한 것은 이용자의 입력값이 SQL 구문으로 해석되도록 해야 한다.
다음 쿼리문의 경우, 이용자의 입력값을 문자열로 나타내기 위해 '문자를 사용하는 것을 볼 수 있다. 여기서 이용자의 입력값이 SQL 구문으로 해석되도록 하기 위해서는 '문자를 입력하는 방법이 있다.
Select uid from user_table where uid='' and upw=''
uid에 admin' or '1을 입력하고, 비밀번호를 입력하지 않았을 때 생성되는 쿼리문은 다음과 같다.
SELECT * FROM user_table WHERE uid='admin' or '1' and upw='';
쿼리문을 살펴보면 두 개의 조건으로 나눠볼 수 있다. 첫 번째 조건은 uid가 “admin”인 데이터, 두 번째 조건은 이전의 식이 참(True)이고, upw가 없는 경우이다. 첫 번째 조건은 admin의 결과를 반환하고, 두 번째 조건은 아무런 결과도 반환하지 않는다. 다시 말해, uid가 “admin”인 데이터를 반환하기 때문에 관리자 계정으로 로그인할 수 있다. 이 외에도, 주석( --, #, /**/)을 사용하는 등 다양한 방법으로 SQL Injection을 시도할 수 있다.
Blind SQL Injection
다음 코드는 Blind SQL Injection 공격 시에 사용할 수 있는 쿼리이다.
# 첫 번째 글자 구하기 (아스키 114 = 'r', 115 = 's')
SELECT * FROM user_table WHERE uid='admin' and ascii(substr(upw,1,1))=114-- ' and upw=''; # False
SELECT * FROM user_table WHERE uid='admin' and ascii(substr(upw,1,1))=115-- ' and upw=''; # True
# 두 번째 글자 구하기 (아스키 115 = 's', 116 = 't')
SELECT * FROM user_table WHERE uid='admin' and ascii(substr(upw,2,1))=115-- ' and upw=''; # False
SELECT * FROM user_table WHERE uid='admin' and ascii(substr(upw,2,1))=116-- ' and upw=''; # True
쿼리를 살펴보면, 세 개의 조건이 있는 것을 확인할 수 있다. 조건을 살펴보기 전에 ascii
와 substr함수에 대해서 알아보자.
ascii
전달된 문자를 아스키 형태로 반환하는 함수이다. 예를 들어, ascii('a')를 실행하면 'a' 문자의 아스키 값인 97을 반환한다.
substr
해당 함수에 전달되는 인자와 예시는 다음과 같다. 해당 함수는 문자열에서 지정한 위치부터 길이까지의 값을 가져온다.
공격 쿼리문의 두 번째 조건을 살펴보면, upw의 첫 번째 값을 아스키 형태로 변환한 값이 114('r') 또는 115('s')인지 질의한다. 질의 결과는 로그인 성공 여부로 참/거짓을 판단할 수 있다. 만약 로그인이 실패할 경우 첫 번째 문자가 'r'이 아님을 의미한다. 이처럼 쿼리문의 반환 결과를 통해 admin 계정의 비밀번호를 획득할 수 있다.
Blind SQL Injection 공격 스크립트
공격 스크립트를 작성하기에 앞서 유용한 라이브러리를 알아보자.
파이썬은 HTTP 통신을 위한 다양한 모듈이 존재하는데, 대표적으로 requests모듈이 있다. 해당 모듈은 다양한 메소드를 사용해 HTTP 요청을 보낼 수 있으며 응답 또한 확인할 수 있다.
다음 코드는 requests 모듈을 통해 HTTP의 GET 메소드 통신을 하는 예제 코드이다.
import requests
url = 'https://www.naver.com/'
headers = {
'Content-Type': 'application/x-www-form-urlencoded',
'User-Agent': 'NAVER_REQUEST'
}
params = {
'test': 1,
}
for i in range(1, 5):
c = requests.get(url + str(i), headers=headers, params=params)
print(c.request.url)
print(c.text)
다음 코드는 HTTP의 POST 메소드 통신을 하는 예제 코드입니다.
requests.post는 POST 메소드를 사용해 HTTP 요청을 보내는 함수로 URL과 Header, Body와 함께 요청을 전송할 수 있다.
import requests
url = 'https://www.naver.com/'
headers = {
'Content-Type': 'application/x-www-form-urlencoded',
'User-Agent': 'NAVER_REQUEST'
}
data = {
'test': 1,
}
for i in range(1, 5):
c = requests.post(url + str(i), headers=headers, data=data)
print(c.text)
GET, POST 메소드 이외에도 다양한 메소드를 사용해 요청을 전송할 수 있으며, 더욱 자세한 기능은 아래 첨부한 공식 문서를 참고해보자.