SQL Injection Member 최병희, 김상우, 조용준, 유창열.

Slides:



Advertisements
Similar presentations
월간 사이버보안 소식 경기교육사이버안전센터 (GECSC) 월호 경기도교육정보기록원.
Advertisements

임직원 APP 설치 가이드 경영전략처 정보기획 TF 팀. 임직원 App- 운영체제 구분  안드로이드 갤럭시, 갤럭시노트, 갤럭시 S4 [ 삼성전자 ] 옵티머스 [LG 전자 ] 베가 [ 팬텍 모토로이 [ 모토롤라 ]  ios 아이폰 [ 애플.
OpenAPI 의 응용 인공지능 연구실. Artificial Intelligence Laboratory 목차 1.OpenAPI 2.Mashup 3.How can use OpenAPI 4.Various OpenAPIs 5. 실습 2.
1 넷스팟 MAC ID 설정 방법 ( 서울캠퍼스 기준 ) 각종 스마트폰의 WiFi 를 이용시 각종 스마트폰의 WiFi 를 이용시 MAC ID 설정을 하는 방법 입니다. 아이폰의 경우는 별도의 설정없이 바로 사용이 가능하오니, 사용이 어려울 경우, 고객센터로 문의하시면 됩니다.
LOGO 중소기업체 대상 무료 정보보안컨설팅 제안서. LOGOClick To Edit Title Style 목 차 한국 IT 전문학교 해킹 피해 사례 제안의 개요 및 목적 보안컨설팅 수행 절차 기대효과 조직도 및 연락처.
Format String Attack! 포맷 스트링 공격 경일대학교 사이버보안학과 학년 남주호.
측정법에 따른 갑상선자극호르몬 결합억제면역글로블린의 임상적 유용성 검토
박승제 웹 애플리케이션 보안 박승제
Secure Coding 이학성.

Security Solutions (S/W) - Fortify
연구활동종사자 교육ㆍ훈련 수강방법 사무처 안전관리실
사용자 생체 정보를 기반으로 한 지능형 자동차 보안 발 표 자 : 모 광 석.
Chapter 10장 솔라리스 자원 관리 및 프로젝트 관리 Solaris2. 프로젝트 관리
PARK SUNGJIN Oracle 설치 PARK SUNGJIN
원격업무지원 서비스 접속 해결방안 윈도우 개인 방화벽 미사용 메시지 해결방안 한국교육학술정보원.
新 연구관리 프로그램 SAP 설치 안내 1. SAP GUI 7.3 설치 2전자증빙 솔루션 설치 배포 :
OpenAPI의 응용 인공지능 연구실.
극동대학교 전자결재 구축 그룹웨어 결재자 교육.
WEB ATTACK 학과 : 사이버경찰 담당 교수 : 안미정 교수님 팀장 : 김현경 팀원 : 양현진, 정윤필, 추혜숙
제 9 장 구조체와 공용체.
Chapter 14 콘텐츠 관리 시스템 보안.
Taylor & Francis Mobile 서비스 이용안내
발표자 : 손충호 조원 : 유진우, 노유성, 조사랑, 손충호
Windows 8 Ksystem G&I 설치.
Linux서버를 이용한 채팅프로그램 지도 교수님 : 이형원 교수님 이 름 : 이 은 영 학 번 :
FTP 프로그램 채계화 박재은 박수민.
17강. 데이터 베이스 - I 데이터 베이스의 개요 Oracle 설치 기본적인 SQL문 익히기
KHS JDBC Programming 4 KHS
SSL VPN 접속방법 1 메뉴얼 발행해 주세요 2. 현재 접속하려는 보안은 SSLVPN 이라고 합니다.
99mTc-DMSA신장검사에서 ROI 설정 방법에 따른 정량분석 차이에 관한 연구
In2smile PT Template in2smile.com.
You YoungSEok Oracle 설치 You YoungSEok
제주닷컴 매뉴얼 (실시간 예약시스템) 2013년 10월.
모바일 학생증 사용안내.
환경 설정 예제 데이터베이스 생성 - 그림 3.34의 SQL Server 관리 스튜디오 창의 왼쪽 영역의 데이터베
Mobile SHI 사용자 메뉴얼 중공업조선CI그룹 전진형( )
UpToDate® Anywhere(UTDA)
2015학년도 PHP 기말 레포트 로그인 홈페이지 제작.
당 자신의 고유한 메시지를 넣어 이 배너를 사용자 지정해 보세요. 글자를 선택하고 고유한 텍스트를 추가합니다. 슬라이드당 한 글자씩 입력하세요.
1. SSLVPN 접속 방법 Internet Explorer 실행(타 브라우저 사용 불가)
inductive linear sensors
Smart Workplace 개발자 가이드
Database 중고차 매매 DB 비즈니스IT 윤동섭.
2 보안 1 도구 윈도우 XP > 온밀크 프로그램 설치 장애 (보안 설정) / 품목추가 깨질 때 장애증상
Adobe 제품 다운로드 및 설치 방법 안내 Adobe Creative Cloud Adobe License 권한을 받으신 분
동기식 카운터 설계.
SQL INJECTION MADE BY 김 현중.
데이터 베이스 DB2 관계형 데이터 모델 권준영.
법령안편집기 연결버튼 표시가 안 될 경우 정부입법지원센터( 입안 및 심사안을 진행시
스마트폰을 이용한 조명제어 ㈜ 성림 M&C
Outlook 손상된 PST 복구
CHANGWON NATIONAL UNIVERSITY DEPT. COMPUTER ENGINEERING
오줌 속에는 무엇이 들어 있을까? 주제 : 노폐물의 배설 과학 1 학년
네트워크 프로그래밍 (모바일 주문 프로그램 )
MP3 Vending Machine Bluetooth기술을 이용한 격주 보고서 #1 팀 명 : 박한배 조 장 : 한규희
2장. 솔라리스10 설치. 2장. 솔라리스10 설치 Solaris 3. 솔라리스10 설치 후 설정하기 1. 텔넷 ( telnet ) 서비스 사용 SSH ( Secure Shell ) 서비스 사용 FTP ( File Transfer Protocol )서비스 사용 시스템.
WZC 무선 연결 방법 (Windows 7 Ver.).
1. 신규 연세메일(Gmail)에 로그인 합니다. ( yonsei. ac. kr )
오라클 11g 보안.
웹 애플리케이션 보안 Trend 인포섹㈜ 신수정 상무
1. 포털 시스템 사이트 접속 ◎ 포털시스템 ( ) 사이트에 들어갑니다.
3. 도시의 내부 구조 ① 도시 내부 지역 분화의 과정과 원인.
UpToDate® Anywhere(UTDA)
CCIT 네트워크 발표 정보보호학과 평문 사이트와 SSL 사이트, SSL strip과 데이터 변조를 이용한 로그인 취약점
 6장. SQL 쿼리.
CODE INJECTION 시스템B 김한슬.
관리자 페이지에서 관리자 승인 1. 정기권 신규고객 1. 로그인 화면 2. 차량등록여부 확인 3. 개인정보 활용 동의
교과서 78쪽 학습 목표 정보 관리의 필요성을 이해할 수 있다. 데이터베이스의 개념과 필요성을 이해할 수 있다.
Presentation transcript:

SQL Injection Member 최병희, 김상우, 조용준, 유창열

목 차 1. 주제선정 이유 2. SQL Injection 이란? 3. 공격 기법 4. 대응 방안 5. 수행 내용 & 자체 평가 목 차 1. 주제선정 이유 2. SQL Injection 이란? 3. 공격 기법 4. 대응 방안 5. 수행 내용 & 자체 평가 6. Q & A

주제 선정 이유 OWASP TOP 10 - 2010 가장 심각한 웹 어플리케이션보안 위험 10가지 ‘가장 일반적인 취약점 10가지’가 아닌, ‘최상위 위험 10가지’를 의미한다 A1-인젝션 : SQL, OS, LDAP 인젝션

SQL Injection 이란? 정 의 DB로 전달되는 쿼리를 변경시켜 비정상적인 DB접근을 시도함으로써 허가 받지 않은 데이터에 접속 하는 기술

공 격 기 법 공격 환경 일반 적으로 취약한 로그인 쿼리 APM 6 $id =_POST[“id”]; $passwd =_POST[“passwd”]; $sql = "SELECT * FROM member WHERE id = ‘$id’ AND passwd = ‘$passwd’"; TEST웹 gogo~씽 Click~! 블로그 gogo~씽 Click~!

공 격 기 법 ID 알고, PW 주석처리를 통한 로그인 성공 ID 알고 ,PW 알지 못할 때 인젝션 통한 로그인 성공 Select userid,userpw from account where username=‘’or’1’=‘1’ and passwd =‘’or’1’=‘1’ Username=‘(false)’or’1’=‘1’(true) and passwd=‘(false)’or’1’=‘1’(true) ID 와 PW 를 모를시에 로그인 기법 Select userid,userpw from account where username=‘’or’1’=‘1’--’ and passwd =‘1235123’ Username=‘(false)’or’=‘1’(true) ID 를 모르고 PW 주석처리를 통한 로그인 기법 ID 알고 ,PW 알지 못할 때 인젝션 통한 로그인 성공 ‘ 와 같이 문자구분 기호를 넣었을 때 오류메시지 표시

대 응 방 안 응용프로그램의 에러정보를 노출하지 않는다. 사용자가 입력하는 입력 값을 검증한다. 대 응 방 안 응용프로그램의 에러정보를 노출하지 않는다. 사용자가 입력하는 입력 값을 검증한다. 데이터의 길이에 제한을 두는 방법. 동적인 SQL을 되도록 사용하지 않는다. ini_set('display_errors', 'off'); ->php.ini 에서 설정 값 @mysql_함수이름(); Bool ctype_alnum(); Bool ctype_alpha(); Bool ctype_digit();

수행 내용 & 자체 평가 참여인원 4명 수행 시간 16시간 자체 평가 결과의 우수성 및 창의성 (우수) 결과에 대한 활용가능성 (우수) 수행 노력에 성실도 (아주 우수) 공개발표 된 연구 성과 (보통) 목표 달성도 (표) 세부목표 비중(%) 달성도(%) 자체평가 SQL Injection 원리 이해 40 85 생략 시 현 20 80 대응 방안 90 합 계 100

Q & A 질문있습니까?

감 사 합 니 다