마이크로소프트 Access 제품에서 SQL injection 취약점을 공격하는 기법에 대해 상세히 정리한 자료가 공개되었습니다.
자료 다운로드 : http://www.milw0rm.com/papers/198 (PDF 문서, 25페이지)
기존에도 Access SQL injection Cheet Sheet 같은 자료가 있긴 했으나, MS SQL 서버 환경처럼 다양한 공격은 불가능한 것으로 여겨져 왔습니다.
그러나 이 자료는 MS Access 로도 MS SQL 서버 환경에서와 동일하게 파일 생성, 파일 읽기, 임의의 명령어 실행, 다른 MS SQL 서버로의 연결 등 다양한 공격이 가능함을 보여주고 있습니다.
% 본 자료는 보안 컨설팅 시 고객사 취약점 진단 용도, 혹은 교육적인 목적으로만 활용하시길 바라며, 그 이외의 악의적인 용도로 활용하시는 경우 관련법에 따라 처벌받을 수 있습니다. 본 자료를 악의적인 용도로 활용하여 발생하는 피해에 대해서는 본인이 직접 민사/형사 상의 책임을 져야 하며, 저는 공공의 이익을 위해 관련 정보에 대한 링크와 요약 정보만 제공한 것이므로 어떠한 책임도 지지 않습니다.
이글루스 가든 - professional secur...
자료 다운로드 : http://www.milw0rm.com/papers/198 (PDF 문서, 25페이지)
기존에도 Access SQL injection Cheet Sheet 같은 자료가 있긴 했으나, MS SQL 서버 환경처럼 다양한 공격은 불가능한 것으로 여겨져 왔습니다.
그러나 이 자료는 MS Access 로도 MS SQL 서버 환경에서와 동일하게 파일 생성, 파일 읽기, 임의의 명령어 실행, 다른 MS SQL 서버로의 연결 등 다양한 공격이 가능함을 보여주고 있습니다.
% 본 자료는 보안 컨설팅 시 고객사 취약점 진단 용도, 혹은 교육적인 목적으로만 활용하시길 바라며, 그 이외의 악의적인 용도로 활용하시는 경우 관련법에 따라 처벌받을 수 있습니다. 본 자료를 악의적인 용도로 활용하여 발생하는 피해에 대해서는 본인이 직접 민사/형사 상의 책임을 져야 하며, 저는 공공의 이익을 위해 관련 정보에 대한 링크와 요약 정보만 제공한 것이므로 어떠한 책임도 지지 않습니다.
이글루스 가든 - professional secur...
덧글
ToTo 2008/05/02 09:25 # 삭제 답글
25페이지 중에 아무내용도 없는 페이지가 꽤 많네요... 삭제됐나... ㅡㅡ;;
ZIZI 2008/05/02 09:30 # 답글
오호...Access에 대한 SQL Injection은 솔직히 별로 신경을 쓰지 않아서..외부에 노출된 서비스에 대해 Access로 DB를 돌릴 경우도 별로 없고..
Local 에서 App들이나 사용하려나...
그래도 신기하군요...여태껏 Access를 허접하게 생각했건만,
이걸 보니 Access도 DB 같아 보인다는..
뽀빠이 2008/05/02 12:06 # 답글
원 저작은 Insomnia Security 란 곳이군요.http://www.insomniasec.com/releases/whitepapers-presentations