2024-03-29 05:15 (금)
수지 Y치과 웹사이트 SQL인젝션 취약점 발견!
상태바
수지 Y치과 웹사이트 SQL인젝션 취약점 발견!
  • 길민권
  • 승인 2012.10.08 03:04
이 기사를 공유합니다

SQL인젝션, 방치하면 큰 피해…특수문자만 필터링해도 차단 가능
수지지역 Y치과 웹사이트에 SQL인젝션 취약점이 발견됐다. Y치과는 유명 프렌차이즈 치과로 유명한 곳이다. 이 취약점을 방치하면 회원정보가 유출될 수 있어 신속한 조치가 필요하다.
 
이번 취약점을 발견해 데일리시큐에 제보한 양영디지털고등학교 디지털네트워크과 2학년 이진혁 군은 “해당 사이트 로그인부분에서 SQL injection 사용이 가능해 아이디와 비밀번호 부분에 코드를 넣고 접속을 하면 로그인이 성공하고 관리자 계정으로 접속이 되어 이름, 전화번호, 이메일과 같은 개인정보 유출이 가능한 상황”이라며 “이를 지속적으로 방치해 뒀을 경우 대량의 개인정보가 유출될 위험이 크다”고 경고했다.
 
이 군은 또 “이런 SQL인젝션 취약점은 로그인을 할 경우 특수문자만 필터링을 해도 막을 수 있으니 신속히 사이트 관리자는 조치를 취해야 한다”고 조언했다.  
 
더욱이 SQL인젝션 공격으로는 취약한 사이트의 관리자 권한을 획득해 모든 악의적 행위들을 할수 있기 때문에 주의해야 한다.
 
이러한 문제는 웹에서 SQL구문을 이용한 로그인, 게시판 출력 등의 내용에서 SQL인젝션에 대한 필터링을 하지 않고 무책임하게 웹사이트를 만드는 것이 가장 큰 문제다.  
 
이 군은 “이런 SQL인젝션을 막기 위해서는 입력받은 값에 특수문자가 있는지 또는 SQL 구문에서 사용하는 명령어들이 있는지 확인하고 만약 있을 경우에는 다음 작업을 처리하지 않도록 하는 것이 좋다”고 설명했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★