SQL 인젝션

SQL 인젝션 취약점을 감지하는 DAST 브라우저 기반 검사입니다.

설명 # 대상 애플리케이션 서버의 백엔드 데이터베이스에서 임의의 SQL 명령을 실행할 수 있습니다. SQL 인젝션은 데이터 또는 시스템 침해로 이어질 수 있는 치명적인 취약점입니다. 조치 방법 # 백엔드 데이터베이스 시스템에 요청을 보낼 때는 항상 매개변수화된 쿼리(parameterized query)를 사용하십시오. 동적 쿼리를 생성해야 하는 상황에서는 사용자 입력값을 직접 사용하지 말고, 유효한 값들의 맵(map) 또는 딕셔너리(dictionary)를 사용하여 사용자가 제공한 키로 값을 조회하십시오. 예를 들어, 일부 데이터베이스 드라이버는 > 또는 < 비교 연산자에 대해 매개변수화된 쿼리를 허용하지 않습니다. 이러한 경우, 사용자가 제공한 > 또는 < 값을 그대로 사용하지 말고, 대신 사용자가 gt 또는 lt 값을 제공하도록 하십시오. 그런 다음 이 알파벳 값을 이용해 동적 쿼리 생성에 사용할 > 및 < 값을 조회합니다. 컬럼명이나 테이블명이 필요하지