안녕하세요 호스트센터(주) 시스템관리부 시스템보안팀입니다. 


SQL Injection공격으로 인한 보안 업데이트를 공지 드립니다. 해당 시스템 운영하시는 고객분께서는 반드시 아래내용을 숙지하시고 업데이트를 실시 하시기 바랍니다 

문의 : 02-6265-1108 
담당자 : 김봉기 주임 


SQL Injection공격으로 인한 홈페이지 내 악성코드 삽입피해 주의요망

□ 개요 
  o 최근 Windows 기반 웹사이트를 대상으로 SQL Injection 취약점을 공격하는 
    해킹도구를 통해 데이터베이스내에 악성코드를 대량으로 삽입하는 사례가 
    빈번히 발생하고 있어 홈페이지 관리자들의 각별한 주의가 요구됨 
    ※ 해당 해킹도구는 일부 웹 보안 장비의 보안기능을 우회할 수도 있으므로 
      주의가 필요 

□ 피해 현상
  o  홈페이지 초기화면에 정적(Static)으로 악성코드가 은닉되는 것이 아니라, 
    데이터베이스 내 악성코드 링크를 삽입함으로써 해당 데이터베이스와 연동된 
    게시판, 상품정보 등 웹 페이지에 악성코드가 동적(Dynamic)으로 삽입됨 



□ 원인  
  o  게시판이나 회원 인증 등 웹서비스와 데이터베이스가 연동되는 부분에서 전달
    되는 인자값에 대한 검증절차 부재로 인해 악의적인 SQL 명령어 주입이 가능
    하게 됨 (SQL Injection 취약점) 
  o  특히, 최근에는 웹 사이트를 통해 유포되는 악성코드는 쿠키 등 HTTP 헤더정보
    를 통해서도 삽입되고 있고, 일부 웹 보안장비의 보안기능을 우회할 수도 있으
    므로 각별한 주의가 필요 


    
□ (피해 발생시) 복구방법 
  o 데이터베이스 백업본 사용 
    - 데이터베이스 백업본이 있을 경우 복구에 활용 
  o 악성코드가 삽입된 테이블을 모두 찾아 SQL명령문으로 복구 
   - 반드시 데이터베이스 관리자/개발자와 충분히 검토한 후에 적용 요망 
   - 자료형 변환이 필요 없는 경우 replace함수만으로 복구 가능  

Update [테이블명] set [컬럼명]=replace([컬럼명],
‘[삭제하고자하는 악성코드 문자열]’, ‘’) 

예> Update freebbs set title=replace(title,‘, ‘’)
 



   - 자료형 변환이 필요한 경우는 cast함수를 이용하여 복구

Update [테이블명] Set [컬럼명] = replace(cast([컬럼명] 
as varchar(8000)), ‘[삭제하고자하는 악성코드 문자열]’, ‘’) 

예> Update freebbs Set contents = replace(cast(contents as varchar(8000)),‘ , ‘’)
 


       ※ 컬럼의 자료형(data type)이 ntext, image 등인 경우 cast함수를 

         사용하여 자료형 변환 후 replace가능하지만, replace를 위한 변수 

         공간(varchar(8000)) 보다 큰 자료의 경우 자료 손실이 발생 할 수 

         있으므로 주의 요망. MS SQL 2005 이상에서는 varchar(max)사용 가능 


   - MS SQL 서버에서 사용하는 큰값 자료형 참조 자료
    [1] 큰 값 자료형 설명: 
                  http://msdn.microsoft.com/ko-kr/library/ms178158.aspx 
    [2] UPDATETEXT 설명: 
                  http://msdn.microsoft.com/ko-kr/library/ms189466.aspx 

□ 예방대책  
  o 근본적인 해결을 위해 모든 변수값에 유효값 검증 절차 적용
  o 웹사이트에서 사용하는 DB권한의 최소화 및 SA계정 사용 제한 등의 
    SQL서버 최적화 
  o 웹 보안 솔루션 도입 및 정책 최적화 
   - MS URLscan 관련 자료 
     [1] URLscan 사용방법: http://support.microsoft.com/kb/326444/ko 
     [2] URLscan 다운로드: http://www.microsoft.com/downloads/details.aspx?FamilyId=EE41818F-3363-4E24-9940-321603531989&displaylang=en
    　 ※ URLscan은 웹방화벽과 유사하며 서버로 전달되는 값들의 필터링 기능이 지원됨 
   - 공개웹방화벽 관련 자료 
     [1] 사용자 커뮤니티: 
                 www.securenet.or.kr > 열린지식 > 공개웹방화벽커뮤니티
   ※ WebKnight에서는 헤더설정의 Injection공격 차단이 설정되어 있어야 차단 가능하며, 
       오탐발생이 예상되므로, 적용 후 일정기간 모니터링 필요 


    

     

  o 웹사이트 보안 강화 가이드 
   - 웹보안 4종 가이드: www.KrCERT.or.kr접속 > 웹보안 4종 가이드 
  o 웹사이트 취약점 점검 
   - KISA 무료 웹취약점점검 서비스 http://webcheck.krcert.or.kr 
　  ※ 비영리단체 또는 중소기업등의 정보보호취약계층만 서비스 대상임 
   - MS 소스코드 검사 도구:　http://support.microsoft.com/default.aspx/kb/954476 
   - HP 점검 도구: http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx 
  o  MS SQL서버에서 sysobjects 또는 syscolumns 권한을 제거하여 악성코드 삽입 
     스크립트 실행을 차단할 수 있으나, 운영 환경에 따라 적용 효과에 차이가 있으므로 
     추후에 배포될 기술문서에서 안내예정 

□ 참고사이트 
  [1] http://isc.sans.org/diary.html?storyid=3823 
  [2] http://isc.sans.org/diary.html?storyid=5092 
  [3] http://www.modsecurity.org/blog/archives/2008/01/sql_injection_a.html 
  [4] http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=16&articleId=9055858&intsrc=hm_topic 
  [5] http://www.trustedsource.org/blog/142/New-SQL-Injection-Attack-Infecting-Machines
  [6] http://www.f-secure.com/weblog/archives/00001432.html 

참조 : 인터넷침해사고대응센터