xml sql문의 주석안에 동적쿼리 사용 시, sql injection 위험성이 존재할까요?

Question

개발환경은 자바 스프링이고, xml을 이용한 SQL 문을 작성하여 사용합니다. 이 SQL 문 안에 -- 으로 주석이 되어 있고, -- 뒤에 동적쿼리를 사용하고 있습니다. 이럴 경우, 동적쿼리문 안에 개행문자 ( 또는 char(13) 등) 을 넣어, 주석문에서 개행하여 SQL Injection 공격이 가능할지 궁금합니다. 많이 검색해봤는데, 정확한 관련 정보가 나오지 않아 질문글 올려봅니다.

load2000 · Answer

*batis 를 사용중이라면 $과 #의 차이에 대해서 검색해보시면 원하시는 답을 얻을 수 있을겁니다.보통 injection 공격을 막기 위해 #를 씁니다.

johj34 · Answer

네, 정적쿼리와 동적쿼리 차이는 알고 있습니다.그런데 회사 시스템 상 꼭 주석으로 동적쿼리를 사용해야 하는 경우입니다.주석으로 -- 처리가 되어 있긴 하지만, 주석에 동적쿼리 사용 시 개행문자로 주석을 벗어나 sql injection 공격이 가능한지 질문하는 글입니다.

더미 · Answer

솔직히 생각해본적도 없는 형태인데...우선 앞에서 막는게?

ShipJH · Answer

직접해보시면 되는거 아닌가요

kolol · Answer

보통은 입력구간에서 예약어를 막는곳도 많았음

johj34 · Answer

ShipJH 해당 시스템 개발자가 아니고, 진단원이라 제가 멋대로 테스트나 공격을 보낼 수 없는 상태입니다.직접 해보는것이 제일 좋겠으나 그런 경우가 불가능하니, 질문글을 올린것이겠지요? 아시는 바가 있다면 답변 요청합니다.

johj34 · Answer

kolol해당 경우, 서블릿단에서 SQL Injection 관련 필터는 존재하지 않습니다..

johj34 · Answer

질문글의 요지를 명확하게 작성하지 않은것 같아, 댓글로 부연설명 추가합니다. 서버단에 SQL Injection 필터링 로직은 아무것도 존재하지 않는 상황입니다.제 코드가 아닌 관계로 코드 테스트가 어려운 상황이라, 며칠간 구글링해봤지만 명확한 자료가 나오지 않았습니다. 그리고, SQL Injection 공격 조치방법을 질문하는 글이 아닙니다. xml sql문의 주석안에 동적쿼리 사용 시, sql injection 공격 가능성 존재 여부를 질문하는 글 입니다.

xml sql문의 주석안에 동적쿼리 사용 시, sql injection 위험성이 존재할까요?

8개의 답변

Q&A 목록