언제나 공사중! :: SQL Injection을 막는 방법 #2

SQL Injection을 막는 방법 #2

일 2006/05/24 02:24

이놈의 골치아픈 SQL Injection 공격은 어떻게 이뤄지는가... 정말 머리가 아플것이다. 이제 이 머리 아픈 놈의 문제를 풀기위해 과정을 다시 한번 복습해보자.

1. 웹서버의 문제점 파악
2. SQL 서버 장악
3. SQL 서버 및 웹서버에 백도어 설치
4. 다양한 장난질

자... 여태까지 문제점은 대부분 1번 문제에서 처리되었다. 1번 문제의 처리는 소스를 수정하던가 WebKnight와 같은 필터의 도움, 또는 전문적인 웹방화벽의 도움을 받으면 된다.

이제는 조금 뒤에 있는 2번을 보자. 2번 과정에 대해서는 간단하게 SQL Injection을 막는 방법 #1에서 말했다. 연결 고리를 끊으라고... 이 연결고리를 끊는 과정에서는 어디가 연결되어 있는지 파악해야 한다.

보통 기본 서비스를 제공하기 위한 상태에 원격 관리를 하고자 쭉 설치를 했다면 FTP, WWW, SMTP, Terminal 등을 설치했을 것이다. 이것들이 보안상 문제가 있다면 포트를 변경한다든지, 암호를 변경한다든지와 같은 방법으로 바꿀 수 있다. 하지만, 이것 이외에 접속하는 방법이 있다. 바로 네트워크 드라이브로 연결하는 것이다. SMB라고 불리는 이 통신은 윈도우가 설치되면 무조건 활성화가 된다.

설치 후 명령 창을 열고 net share라고 쳐보면

IPC$
ADMIN$
C$
D$

와 같은 공유가 걸린다. 이러한 공유는 AD기반일 때 관리를 위한 목적으로 사용된다. 그렇다면 AD기반이 아닐때에는 제거하면 괜찮다는 이야기이다. 그러면 이를 어찌 제거 할까??

일단 시작하자마자 net share c$ /delete와 같은 명령으로 수동 제거할 수도 있다. 하지만 매번 하기도 힘들고... 그래서 대부분 레지스트리를 수정해서 이를 제거한다. (이건 정책 편집기에서도 가능하다)

Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Name: AutoShareServer
Name: AutoShareWks
Type: REG_DWORD
Value: 0

하지만 이러한 방법은 그리 권할만하지 않다. 이걸 제거하는 또 다른 방법으로 네트워크 등록정보에서 고급-고급 설정을 한 후에 Microsoft 네트워크용 파일 및 프린터 공유라는 부분의 체크 박스를 풀고 재부팅하는 방법도 있다.

Microsoft 네트워크용 파일 및 프린터 공유라는 부분의 체크 박스 풀면..

뭐.. 이거 풀고 생기는 문제는 네트워크 상에서 컴퓨터를 이름으로 못찾는다는 것...

근데 이 두가지 방법 말고도 더 확실하고 좋은 방법이 있다. 바로 해당 부분 자체를 정지시켜버리는 것.

관리도구-서비스에 가면 수많은 서비스들이 있는데, 여기에 있는 것들 중에서 파일 공유 관련 서비스가 있다. 바로 Server라는 서비스가 이 놈인데, 이를 정지시켜 버리면 엄청난 경고가 뜬다(시스템이 안뜬다는...). 마음 크게 먹고 한번 정지해보자.

정지를 하면... 이제 당신의 컴퓨터는 네트워크 드라이브 연결을 받아들이지 못한다.

여기에 보너스로 Workstation이라는 서비스도 정지해보자.

정지를 하면... 이제 당신의 컴퓨터는 네트워크 드라이브 연결도 할 수 없다.

눈치가 좋다면 자동을 수동이나 사용 안함으로... 보다 더 강력하기를 원한다면 해당 서비스를 지.워.버.려.라. 물론 해당 부분의 수정으로 인한 문제는 적용한 당신의 책임이다. (무책임 주의~)

Security, SQL Injection, 보안

트랙백 1 댓글 0

Trackback : http://www.daegul.com/trackback/303

Subject SQL Injection을 막는 방법 #2
Tracked from 공부하세요. 2006/05/26 11:40
<TABLE cellSpacing=0 cellPadding=0 width=530 border=0> <TBODY> <TR> <TD><IMG alt="" src="http://w