코드 인젝션

3. 코드 인젝션의 영향

코드 인젝션은 공격 유형과 대상 시스템에 따라 다양한 영향을 미칠 수 있다. 주요 피해 사례는 다음과 같다.

• 데이터 유출 및 변조: 공격자는 SQL 인젝션을 통해 데이터베이스의 정보를 훔치거나 내용을 변경할 수 있다.^[13]
• 시스템 권한 탈취: 셸 인젝션으로 시스템 관리자 권한을 얻어 시스템을 제어할 수 있다.^[19]
• 웹 사이트 변조 (Defacement): 크로스 사이트 스크립팅(XSS) 등으로 웹 페이지를 변조해 사용자에게 잘못된 정보를 제공하거나 악성코드를 퍼뜨릴 수 있다.^[14]
• 서비스 거부 공격 (DoS): 시스템 자원을 고갈시키거나 서비스를 중단시킬 수 있다.
• 기타 피해: 정보 유출, 시스템 손상, 기업 이미지 실추 등 다양한 피해가 발생할 수 있다.

• SQL 인젝션: SQL 쿼리문을 조작하여 데이터베이스를 공격한다.
• 크로스 사이트 스크립팅(XSS): 웹 사이트에 악성 스크립트를 삽입하여 사용자 정보를 훔치거나 다른 사용자를 공격한다.
• 서버 측 템플릿 주입: 템플릿 엔진의 취약점을 이용해 서버에서 코드를 실행한다.^[15]
• `eval()` 인젝션: PHP의 `eval()` 함수에 악성 코드를 주입해 서버에서 실행한다.^[16]
• 파일 포함 취약점: 서버에서 원격 파일을 로드하도록 유도해 악성 코드를 실행한다.
• 형식 문자열 버그: C 언어의 `printf` 함수처럼 형식 문자열을 쓰는 함수의 취약점을 이용한다.
• 셸 인젝션 (명령 인젝션): 유닉스 셸 등에서 셸 명령어를 실행하는 함수의 취약점을 이용한다.^[19]

3. 1. 데이터 유출 및 변조

• `UserID`: `';DROP TABLE User; --'`
• `Password`: `'OR"='`

3. 2. 시스템 권한 탈취

이러한 공격을 통해 시스템 관리자 권한을 획득할 수 있다.

3. 3. 웹 사이트 변조 (Defacement)

3. 4. 서비스 거부 공격 (DoS)

3. 5. 기타 피해

• 정보 유출: 공격자는 코드 인젝션을 통해 데이터베이스에 저장된 민감한 정보(예: 사용자 계정 정보, 개인 식별 정보)를 탈취하거나, 시스템 내부 정보(예: 소스 코드, 설정 파일)를 유출할 수 있다.
• 시스템 손상: 공격자는 코드 인젝션을 통해 시스템 파일을 변경하거나 삭제하고, 악성코드를 설치하며, 시스템 설정을 변경하여 시스템을 마비시키거나 장악할 수 있다.
• 기업 이미지 실추: 코드 인젝션 공격으로 인해 서비스 중단, 정보 유출 등의 문제가 발생하면 기업의 신뢰도가 하락하고, 고객 이탈, 법적 책임 등의 문제가 발생할 수 있다.

• SQL 주입: SQL 쿼리문을 조작하여 데이터베이스를 공격한다. 예를 들어, 사용자 로그인 과정에서 비밀번호 대신 `'Password' OR '1'='1'`와 같은 코드를 주입하면 인증을 우회할 수 있다.^[13]
• 크로스 사이트 스크립팅(XSS): 웹 사이트에 악성 스크립트를 삽입하여 사용자 정보를 탈취하거나 다른 사용자를 공격한다. 예를 들어, 방명록에 악성 스크립트를 포함한 메시지를 남기면 다른 사용자가 해당 메시지를 읽을 때 스크립트가 실행되어 쿠키 정보가 유출될 수 있다.^[14]
• 서버 측 템플릿 주입: 템플릿 엔진의 취약점을 이용하여 서버에서 코드를 실행한다.^[15] 예를 들어, 사용자 이름을 표시하는 템플릿에 ``와 같은 코드를 주입하면 서버에서 해당 코드가 실행되어 `7777777`이 출력될 수 있다.
• `eval()` 인젝션: PHP의 `eval()` 함수에 악성 코드를 주입하여 서버에서 실행한다.^[16]
• 파일 포함 취약점: 서버에서 원격 파일을 로드하도록 유도하여 악성 코드를 실행한다. 예를 들어, PHP 프로그램에서 요청된 파일을 포함하는 코드에 `http://evil.com/exploit`와 같은 URL을 전달하면 원격 서버의 악성 코드가 실행될 수 있다.
• 형식 문자열 버그: C 언어의 `printf` 함수와 같이 형식 문자열을 사용하는 함수의 취약점을 이용한다. 예를 들어, 사용자 입력을 형식 문자열로 사용하는 `printf(user_input)` 대신 `printf("%s", user_input)`를 사용하면, 사용자 입력에 `%s`와 같은 형식 지정자를 포함시켜 스택 메모리에 접근하여 비밀번호를 유출할 수 있다.
• 셸 인젝션 (명령 인젝션): 유닉스 셸 등에서 셸 명령어를 실행하는 함수의 취약점을 이용한다.^[19] 예를 들어, tcsh 스크립트에서 `./check " 1 ) evil"`와 같이 실행하면 `evil`이라는 셸 명령어가 실행된다.^[20]

4. 코드 인젝션 예방

코드 인젝션은 개발 단계에서부터 보안을 고려하여 예방하는 것이 중요하다. 코드 인젝션 문제를 예방하기 위한 방법은 다음과 같다.

• 안전한 입출력 처리: 안전한 입출력 처리를 통해 코드 인젝션을 예방할 수 있다. 여기에는 정적 자료형 체계를 통한 언어 분리 강화^[35], 위험한 문자로부터 보호하기 위한 입력 인코딩, 커널에서의 모듈과 셸 분리 등이 포함된다.
• 런타임 이미지 해시 확인: 메모리에 로드된 실행 이미지의 전체나 일부분의 해시를 캡처하여 저장된 예상 해시 값과 비교한다.
• NX 비트: 모든 사용자 데이터는 실행 불가능으로 표시된 특수 메모리 섹션에 저장된다. 프로세서는 이 메모리에 코드가 없음을 확인하고 실행을 불가능하게 한다.

4. 1. 안전한 API 사용

4. 2. 입력 값 검증 (Validation)

• API 활용: 적절한 API를 사용하면 모든 입력 문자에 대해 안전하게 처리할 수 있다. 예를 들어, 매개변수화된 쿼리를 사용하면 사용자 데이터를 해석할 문자열에서 분리하여 SQL 인젝션과 같은 공격을 예방할 수 있다.^[8]
• 정적 타입 시스템: 정적 타입 시스템을 사용하면 언어 간 분리가 강화되어 코드 인젝션에 대한 방어력을 높일 수 있다.^[9]
• 입력 인코딩: 위험한 문자를 이스케이프하거나, HTML에서 특수 문자를 안전하게 출력하도록 변환하는 등의 입력 인코딩을 수행한다. PHP에서는 `htmlspecialchars()` 함수를 사용하여 HTML 특수 문자를 이스케이프하고, `mysqli::real_escape_string()` 함수를 사용하여 SQL 쿼리에 포함될 데이터를 안전하게 처리할 수 있다.
• 출력 인코딩: 웹사이트 방문자에 대한 크로스 사이트 스크립팅(XSS) 공격을 방지하기 위해 출력 데이터를 인코딩한다.
• HttpOnly 플래그: HTTP 쿠키에 `HttpOnly` 플래그를 설정하면 클라이언트 측 스크립트가 쿠키에 접근하는 것을 막아 특정 유형의 XSS 공격을 예방할 수 있다.^[10]

4. 3. 출력 값 인코딩 (Encoding)

4. 4. 라이브러리 및 프레임워크 활용

• API 활용: 적절한 API를 사용하면 모든 입력 문자에 대해 안전하게 처리할 수 있다. 매개변수화된 쿼리는 사용자 데이터를 해석할 문자열 밖으로 이동시켜 보안을 강화한다. Criteria API^[8]와 같은 API는 명령 문자열을 직접 생성하고 해석하는 방식에서 벗어나 안전한 코딩을 돕는다.
• 정적 타입 시스템 활용: 정적 타입 시스템을 통해 언어 분리를 강제하여 보안을 강화할 수 있다.^[9]
• 입력 검증 및 인코딩: 알려진 유효한 값만 허용하는 화이트리스트 방식으로 입력을 검증하거나, 위험한 문자를 이스케이프 또는 인코딩하여 악의적인 코드가 삽입되는 것을 방지한다. 예를 들어, PHP에서는 `htmlspecialchars()` 함수를 사용하여 HTML 특수 문자를 이스케이프하고, `mysqli::real_escape_string()` 함수를 사용하여 SQL 쿼리에 포함될 데이터를 격리하여 SQL 인젝션을 방지할 수 있다.
• 출력 인코딩: 웹 사이트 방문자를 대상으로 하는 XSS 공격을 방지하기 위해 출력을 인코딩할 수 있다.
• HTTP 쿠키 보안 강화: `HttpOnly` 플래그를 설정하면 쿠키와 클라이언트 측 스크립트의 상호 작용을 차단하여 특정 XSS 공격을 예방할 수 있다.^[10]
• 커널 수준 보안: 커널에서 모듈식 셸 분리를 통해 보안을 강화할 수 있다.
• SQL 인젝션 방지 기법: SQL 인젝션과 관련하여 매개변수화된 쿼리, 저장 프로시저, 화이트리스트 입력 유효성 검사 등의 방법을 사용하여 공격 위험을 줄일 수 있다.^[11] 객체 관계 매핑을 사용하면 사용자가 SQL 쿼리를 직접 조작하는 것을 방지할 수 있다.

4. 5. 정적 분석 도구 활용

4. 6. 동적 분석 도구 및 퍼징

4. 7. 운영체제 및 하드웨어 수준의 보안

5. 코드 인젝션의 양면성

코드 인젝션은 악의적인 공격에 사용될 수 있지만, 선의의 목적으로 사용될 수도 있다. 예를 들어, 코드 인젝션을 통해 프로그램이나 시스템의 동작을 변경하여 악의적인 의도 없이 특정 방식으로 동작하도록 할 수 있다.^[5][6] 몇몇 사람들은 코드 인젝션을 좋은 의도로 사용하여 프로그램의 동작을 변경해 장난을 치기도 한다.^[5][6] 하지만 이 또한 법적인 문제를 야기할 수 있으며, 의도치 않은 코드 인젝션은 어떠한 경우에도 불법임을 인지해야 한다.

5. 1. 모의 침투 테스트

5. 2. 프로그램 기능 확장

• 검색 결과 페이지에 원래 디자인에 없던 유용한 새 열을 추가한다.
• 원래 디자인의 기본 기능에 노출되지 않은 필드를 사용하여 데이터를 필터링, 정렬 또는 그룹화하는 새로운 방법을 제공한다.
• 오프라인 프로그램에서 온라인 리소스에 연결하는 기능과 같은 기능을 추가한다.
• 함수를 재정의하여 호출이 다른 구현으로 리디렉션되도록 한다. 이는 동적 링커를 사용하여 리눅스에서 수행할 수 있다.^[7]

5. 3. 주의사항

참조

_[1] 웹사이트 Top 10 Web Application Security Vulnerabilities http://www.upenn.edu[...] University of Pennsylvania 2016-12-10
_[2] 웹사이트 OWASP Top 10 2013 A1: Injection Flaws https://www.owasp.or[...] OWASP 2013-12-19
_[3] 간행물 Code Injection Attacks in Wireless-Based Internet of Things (IoT): A Comprehensive Review and Practical Implementations 2023-01
_[4] 웹사이트 NVD - Statistics Search http://web.nvd.nist.[...] 2016-12-09
_[5] 웹사이트 Towards More Effective Virus Detectors http://www.public.as[...] 2010-09-18
_[6] 서적 Computer Network Security Springer
_[7] 웹사이트 Dynamic linker tricks: Using LD_PRELOAD to cheat, inject features and investigate programs https://rafalcieslak[...] 2016-12-10
_[8] 웹사이트 The Java EE 6 Tutorial: Chapter 35 Using the Criteria API to Create Queries http://docs.oracle.c[...] Oracle 2013-12-19
_[9] 웹사이트 A type-based solution to the "strings problem": a fitting end to XSS and SQL-injection holes? http://blog.moertel.[...] 2018-10-21
_[10] 웹사이트 HttpOnly https://www.owasp.or[...] 2016-12-10
_[11] 웹사이트 SQL Injection Prevention Cheat Sheet https://www.owasp.or[...] 2016-12-10
_[12] 간행물 CPM: Masking Code Pointers to Prevent Code Injection Attacks http://fort-knox.org[...] 2018-10-21
_[13] 간행물 Long short-term memory on abstract syntax tree for SQL injection detection https://onlinelibrar[...] 2021-03-12
_[14] 서적 Web Security Testing Cookbook https://archive.org/[...] O'Reilly Media 2009-05-15
_[15] 웹사이트 Server-Side Template Injection https://portswigger.[...] 2022-05-22
_[16] 간행물 Dynamic Evaluation Vulnerabilities in PHP applications https://seclists.org[...] 2018-10-21
_[17] 웹사이트 Unserialize function warnings http://uk3.php.net/m[...] PHP.net 2014-06-06
_[18] 웹사이트 Analysis of the Joomla PHP Object Injection Vulnerability http://karmainsecuri[...] 2014-06-06
_[19] 웹사이트 Command Injection https://www.owasp.or[...] OWASP 2013-12-19
_[20] 문서 Douglas W. Jones, CS:3620 Notes, Lecture 4—Shell Scripts. http://www.cs.uiowa.[...]
_[21] 웹사이트 Command Injection - Black Hat Library http://blackhat.life[...] 2015-02-27
_[22] 웹사이트 Networkキーワード - インジェクション攻撃：ITpro https://xtech.nikkei[...] ITpro 2017-08-01
_[23] 문서 、2017年8月1日閲覧。
_[24] 웹사이트 インジェクション攻撃とは - IT用語辞典 http://e-words.jp/w/[...] Incept 2017-08-01
_[25] 웹사이트 Top 10 Web Application Security Vulnerabilities http://www.upenn.edu[...] University Of Pennsylvania 2016-12-10
_[26] 웹사이트 OWASP Top 10 2013 A1: Injection Flaws https://www.owasp.or[...] OWASP 2013-12-19
_[27] 웹사이트 NVD - Statistics Search http://web.nvd.nist.[...] 2016-12-09
_[28] 웹사이트 Towards More Effective Virus Detectors http://www.public.as[...] 2010-09-18
_[29] 문서 Symptoms-Based Detection of Bot Processes J Morales, E Kartaltepe, S Xu, R Sandhu - Computer Network Security, 2010 - Springer
_[30] 웹사이트 The Java EE 6 Tutorial: Chapter 35 Using the Criteria API to Create Queries http://docs.oracle.c[...] Oracle 2013-12-19
_[31] 웹사이트 HttpOnly https://www.owasp.or[...] 2016-12-10
_[32] 웹사이트 SQL Injection Prevention Cheat Sheet https://www.owasp.or[...] 2016-12-10
_[33] 간행물 CPM: Masking Code Pointers to Prevent Code Injection Attacks
_[34] 웹인용 OWASP Top 10 2013 A1: Injection Flaws https://www.owasp.or[...] OWASP 2016-02-11
_[35] 문서 http://blog.moertel.[...]
_[36] 웹인용 Dynamic Evaluation Vulnerabilities in PHP applications http://seclists.org/[...] Insecure.org 2016-02-11
_[37] 웹인용 Unserialize function warnings http://uk3.php.net/m[...] PHP.net