TIL ( Injection )

 

💡Injection

 

 

의의

 

- 인젝션이란 주입, 삽입으로 주로 보안 분야에서 사용되는 용어이다. 

- 시스템에 악의적인 코드를 삽입하여 비정상적인 동작을 유도하는 공격하는 것을 의미한다.

- 가장 흔한 형태의 인젝션 공격은 SQL 인젝션(SQL Injection)이다.

 

 

유형

 

 

1. SQL 인젝션(SQL Injection) 

 - SQL쿼리에 악의적인 SQL코드를 삽입하여 데이터베이스를 조작하거나 민감한 정보를 탈취하는 공격이다.

 - 예시 : 로그인 쿼리에 'OR '1' = ' 1 같은 코드를 입력하여 인증을 우회하게한다.

 

2. 크로스 사이트 스크립팅 (Cross-Site Scripting)

- 웹 페이지에 악성 스크립트를 삽입하여 사용자의 브라우저에서 실행되도록 하는 공격이다.

- 예시 : 댓글이나 검색창에   <script>alert('XSS')</script>  같은 코드를 삽입하여 다른 사용자의 브라우저에서 악성 스크립트를 실행한다.

 

3. 명령어 인젝션 (Command Injection)

- 시스템 명령어를 실행하는 코드에 악의적인 명령어를 삽입하여 서버에서 임의의 명령어를 실행하는 공격이다.

- 예시) 웹 애플리케이션에서 시스텝 명령어를 실행하는 부분에 ; rm -rf / 같은 명령어를 삽입하여 파일을 삭제시킨다.

 

4. LDAP 인젝션 (LDAP Injection)

- LDAP 쿼리에 악의적인 코드를 삽입하여 디렉토리 서비스에 대한 비정상적인 접근을 시도하는 공격이다.

- 예시) LDAP 검색 필드에 *를 삽입하여 모든 사용자 정보를 검색한다.

 

5. XML 인젝션 (XML Injection)

- XML 데이터를 처리하는 애플리케이션에 악의적인 XML 코드를 삽입하여 비정상적인 동작을 유도하는 공격이다.

- 예시 ) XML 파싱 과정에서 악성 태그를 삽입하여 구조를 변경시킨다.