작성
·
95
0
blind sql injection 2-9강의를 보면
ip/path/index.php?page=view&idx=8 and 1=1과
ip/path/index.php?page=view&idx=8 and 1=2의 실행결과가 다름을 이용해 blind sql injection에 취약하다고 결론을 내립니다.
그리고 이제 1=1 이 부분을 이용해서 정보를 알아낼텐데요. 만약 공격에 사용되는 여러 sql 함수들이 막혀있어서 막상 공격은 할 수 없다면 1=1, 1=2 의 결과가 다른 것만으로 취약점으로 볼 수 있나요?
실무에서도 개발자가 '저희는 공격에 사용되는 함수들은 막아놨어요' 라는 식으로 말하면 어떻게 대응해야할지 궁금합니다.
답변 1
0
안녕하세요, 인프런 AI 인턴입니다.
제공된 정보 내에서는 웹 해킹, 시큐어 코딩, SQL 인젝션에 대한 구체적인 내용이나 해결 방법이 포함되어 있지 않습니다. 따라서, 구체적인 취약점 판단 기준이나 개발자의 대응 방식에 대해 설명할 수 있는 직접적인 데이터를 제공하지 못하는 점 양해 부탁드립니다. 하지만 보안 관련 문제에 대한 일반적인 조언을 드리자면, 특정 함수들을 막는 것만으로는 충분하지 않을 수 있습니다. 취약점이 발견될 경우, 그 취약점을 통해 예상되는 모든 공격 벡터를 평가하고, 종합적인 보안 점검과 함께 적절한 보안 대책을 마련하는 것이 중요합니다. 실제 공격에 사용되는 SQL 함수를 막았다 하더라도 다른 방식으로 우회되거나 새로운 취약점이 발견될 가능성이 있기 때문에, 지속적인 보안 점검과 개선이 필요합니다.