2020-10-24 17:30 (토)
경영아카데미 사이트에 SQL인젝션 취약점...대량 DB유출 위험
상태바
경영아카데미 사이트에 SQL인젝션 취약점...대량 DB유출 위험
  • 길민권
  • 승인 2014.05.02 18:09
이 기사를 공유합니다

“블라인드 SQL인젝션으로 컬럼명만 알아내면 대량 정보유출 가능해”
국내 모 경영아카데미 사이트에 블라인드 SQL인젝션 취약점이 발견됐다. 이를 통해 사이트 회원들의 개인정보 유출 사고로 이어질 수 있어 관리자의 적극적인 조치가 필요한 상황이다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 한충우(소속 UNIST HeXA, CodeRed)씨는 “해당 사이트 강의 종류를 선택하는 카테고리 파라미터를 통해 블라인드 SQL인젝션이 가능하다”며 “더욱이 결과가 리스트 형으로 나오기 때문에 블라인드 SQL인젝션으로 컬럼명만 알아내고 나면 Union 인젝션으로 간단하게 데이터를 대량으로 유출 할 수 있을 가능성이 크다. 보안조치가 필요하다”고 제보했다.
 
제보자는 “파라미터를 입력받고 쿼리문에 넣기 전 간단한 escape로 필터링 해 SQL인젝션을 예방할 수 있을 것”이라며 “사용자들의 개인정보가 유출 될 수 있고 또 인젝션을 통해 서버의 파일들까지 보게 된다면 2차적인 피해도 있을 수 있어 주의해야 한다”고 경고했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 취약점 패치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com