tag

SQL 인젝션

이 태그가 달린 문서 2건

CVSS9.82026-06-12

MOVEit 대규모 유출 사고(2023) — SQL 인젝션 제로데이가 2,700개 이상 조직에 도달한 경위와 방어법

진입점은 인터넷에 노출된 MOVEit Transfer의 SQL 인젝션 제로데이(CVE-2023-34362)였습니다. 웹 셸(LEMURLOOT)이 심어지고 백엔드 데이터베이스에서 데이터가 대량 탈취되어 2,700개 이상 조직, 약 9,330만 명에게 피해를 입혔습니다. 대부분의 피해자는 벤더가 MOVEit을 썼기 때문에 간접적으로 끌려 들어갔습니다. 여러분의 환경에서는 KEV 신속 패치, 노출 최소화, 웹↔DB 최소 권한과 분리, 벤더 인벤토리와 데이터 최소화가 핵심입니다.

2026-06-08

SQL 인젝션(SQLi)이란 — 입력이 데이터베이스의 명령을 바꿔 쓰는 취약점

SQLi는 입력이 데이터가 아니라 '명령의 일부'로 읽혀 쿼리의 의미를 바꾸는 취약점입니다 — 곧장 읽기/변경/삭제로 이어집니다. 진짜 방어법은 SQL을 문자열로 이어 붙이기를 멈추고, 값을 플레이스홀더(프리페어드 스테이트먼트)로 넘기는 것입니다.

← 모든 태그