[Web Security] SQL Injection

https://youtu.be/laQAQeuuJF4

 

 

 

 

 

SQL Injection 종류

 

Error Based SQL Injection

문법오류 발생시켜서 정보를 가져감

 

 

Union Based SQL Injection

컬럼의 갯수 확인 union

 

 

 

 

대응 방법 :

1 에러 메세지 노출 차단

2 사용가능한 특수문자 제한 및 필터링

3 PreparedStatements

 

JdbcTemplate 는 기본적으로 PreparedStatements 사용

JPA 는 parameter binding 을 사용하여 대응

 

 

 

 

 

 

Blind Based SQL Injection

Stored Prosed SQL Injection

Time Based SQL Injeciton 

등등