SQL 질의 애트리뷰트 값 제거 방법을 이용한 효과적인 SQL Injection 공격 탐지 방법 연구

Vol. 18, No. 5, pp. 135-148, 10월. 2008
10.13089/JKIISC.2008.18.5.135, Full Text:
Keywords: Web Application Security, SQL Injection, Static and Dynamic analysis
Abstract

인터넷이 발전함에 따라 웹 애플리케이션을 이용한 서비스가 대중화되었고, 웹 애플리케이션의 취약점을 목표로 하는 공격들도 증가하게 되었다. 많은 웹 공격 중의 하나인 SQL Injection 공격은 민감한 데이터를 처리하는 곳에서는 매우 치명적이고 위험하기 때문에 이를 탐지하고 예방하기 위한 연구들이 다양하게 이루어져 왔다. 이로 인하여 SQL Injection 공격들이 많이 감소했지만 아직도 이를 우회하는 방법들이 존재하며, 기존의 연구 방법들 또한 매우 복잡하여 실제 웹 애플리케이션에 적용하여 사용하기 어렵다. 따라서 본 논문에서는 SQL Injection 공격 탐지를 위해 웹 애플리케이션에 고정되어 있는 정적 SQL 질의와 사용자로부터 생성되는 동적 SQL 질의의 애트리뷰트 값을 제거한 정적 및 동적 분석 방법을 제안하고, 실험을 통하여 효율성을 검증하였다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
I. Lee, J. Cho, K. Cho, J. Moon, "A Method for SQL Injection Attack Detection using the Removal of SQL Query Attribute Values," Journal of The Korea Institute of Information Security and Cryptology, vol. 18, no. 5, pp. 135-148, 2008. DOI: 10.13089/JKIISC.2008.18.5.135.

[ACM Style]
In-Yong Lee, Jae-Ik Cho, Kyu-Hyung Cho, and Jong-Sub Moon. 2008. A Method for SQL Injection Attack Detection using the Removal of SQL Query Attribute Values. Journal of The Korea Institute of Information Security and Cryptology, 18, 5, (2008), 135-148. DOI: 10.13089/JKIISC.2008.18.5.135.