웹 보안 쪽보다는 원래 DBMS 쪽에 연관된 공격으로 보는 것이 타탕해 보이지만, 실제로 웹을 통해서 공격이 시작되기 때문에 웹 보안으로 불러야 할 것으로 보입니다.
하여튼, OWASP Top 10에서 가장 많이 언급되고 있는 SQL Injection 공격은 공격하기가 아주 쉽고, 자동화되어 널리 공격할 수 있는 공격자 입장에서는 아주 손쉬운 먹이감입니다.
아래는 오라클 DMBS에서 발생한 SQL Injection 취약점에 대한 부분입니다.
1. SQL Injection Vulnerability in Oracle Database Using "SYS.DBMS_AQIN" http://bit.ly/9OzZKC
2. SQL Injection/Privilege Escalation Vuln Oracle DB using DBMS_AQADM_SYS http://bit.ly/cNinMD
3. SQL injection vuln in Oracle 10gR1 DB using SYS.DBMS_STREAMS_AUTH http://bit.ly/9d1H2N
4. SQL Injection vuln in Oracle with ".ALTER_AUTOLOG_CHANGE_SOURCE" function http://bit.ly/bHcLh2
5. SYS.KUPW$WORKER SQL injection/ privilege escalation in Oracle 10g Release 1 http://bit.ly/d1uuQ7
6. SYS.DBMS_CDC_IMPDP SQL injection/ privilege escalation in Oracle 10g Release 1 http://bit.ly/bRDTNi
7. SYS.DBMS_STATS SQL injection/ privilege escalation in Oracle 10g Release 1 http://bit.ly/anpA8t
8. SYS.DBMS_DBUPGRADE SQL injection/ privilege escalation in Oracle 10g http://bit.ly/d1yzYp
오라클 뿐만 아니라 MySQL, MS SQL도 물론 SQL Injection 취약점에 널리 노출되어 있다는 점 또한 잊지 말아야 할 것입니다.
감사합니다.
출처: http://advice.cio.com/appsecinc/11514/understanding_sql_injections_in_the_database_management_system
댓글을 달아 주세요