ÇàÁ¤¾ÈÀüºÎ ÁÖÃÖ·Î 9¿ù 8ÀϺÎÅÍ 9ÀϱîÁö ¼¿ï »ï¼ºµ¿ ÄÚ¿¢½º 1Ãþ ±×·£µåº¼·ë¿¡¼ °³ÃֵǴ º¸¾ÈÄÁÆÛ·±½º ¡®ISEC 2009¡¯¿¡¼ ÀÎÇÏ´ëÇб³¿¡ ÀçÇÐ ÁßÀÌ¸é¼ ¿Í¿ìÇØÄ¿ ¸â¹ö·Î È°¹ßÇÑ È°µ¿À» ÆîÄ¡¸ç ´ë±Ô¸ð ÇØÅ·¹æ¾î´ëȸ ¿ì½Â µîÀÇ °æ·ÂÀ» °¡Áö°í ÀÖ´Â ¹ÚÂù¾Ï ¾¾´Â ÄÁÆÛ·±½º ù°³¯ÀÎ 8ÀÏ, ¡®´Ù¾çÇÑ ÇØÅ·(Various Hacking)¡¯À̶õ ÁÖÁ¦·Î ÇØÅ·½Ã¿¬À» ÆîÄ£´Ù.
À̳¯ ÇØÅ·½Ã¿¬¿¡¼´Â ÃÖ±Ù °³ÃÖµÈ ºí·¢ÇÞ°ú µ¥ÇÁÄÜ ÄÁÆÛ·±½º¿¡¼ ¹ßÇ¥µÇ¾ú´ø ÁÖÁ¦ÀÎ Advanced SQL Injection ±â¹ý¿¡ ´ëÇØ ¾Ë¾Æº»´Ù. ÀÌ´Â SQL Injection Ãë¾à¼ºÀ» ÀÌ¿ëÇØ Stacked Query(¶Ç´Â Batched Query)¸¦ »ç¿ëÇÏÁö ¾Ê°í, ¿ø°Ý Äڵ带 ½ÇÇàÇÏ´Â ±â¼úÀ» ´Ù·ç´Â ³»¿ëÀÌ´Ù. ½¬¿î °³³äÀÇ °£´ÜÇÑ ±â¹ýÀ̱⠶§¹®¿¡ ´ëºÎºÐÀÇ Âü°¡ÀÚ°¡ ¾î·Á¿ò ¾øÀÌ µéÀ» ¼ö ÀÖÀ» °ÍÀ̶ó »ý°¢ÇÑ´Ù.
¶ÇÇÑ ¾ó¸¶ Àü ¹ßÇ¥µÈ ¸®´ª½º Ä¿³Î»óÀÇ sock_sendpage() Ãë¾à¼º°ú ±×¿¡ ´ëÇÑ ÀͽºÇ÷ÎÀÕÀ» ºÐ¼®ÇØ º¸°í, ÇØ´ç Ãë¾à¼ºÀ» °ø°Ý ÄÚµå·Î ±¸ÇöÇϱâ À§ÇØ »ç¿ëµÈ NULL ÁÖ¼Ò ¿µ¿ª¿¡¼ÀÇ ¸Þ¸ð¸® »ç»ó ¹æÁö ¿ìȸ ¹× SELinux¿Í LSMÀÇ ¼³Á¤À» ¹«·ÂÈ ½ÃÅ°´Â ±â¼ú µîÀ» ¾Ë¾Æ º¼ °ÍÀÌ´Ù.
¸¶Áö¸·À¸·Î Ãë¾à¼ºÀ» ¹æ¾î ÇÒ ¼ö ÀÖ´Â ÆÐÄ¡ÀÇ ¿ø¸® ¶ÇÇÑ »ìÆ캸µµ·Ï ÇÑ´Ù. ¾Æ¿ï·¯ °¡¿ë½Ã°£ÀÌ ³²´Â´Ù¸é Ãß°¡·Î °£´ÜÇÑ »ýÈ° ¼ÓÀÇ ÇØÅ·À» ¾Ë¾Æº¸µµ·Ï ÇÏ´Â ½Ã°£ÀÌ ¸¶·ÃµÉ ¿¹Á¤ÀÌ´Ù.
¡á Âü°ü¾È³»: www.isecconference.org Á¢¼Ó ->»çÀüÂü°üµî·Ï->½ÂÀθÞÀÏ ¹ß¼Û->½ÂÀθÞÀÏ Ãâ·ÂÈÄ ISEC 2009 ÇöÀå¼ Á¦Ãâ->ÆÐÂû ¹× ¹ßÇ¥ÀÚ·áÁý ¹ÞÀ½.
[±èÁ¤¿Ï ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>