웹 서버 로그에서 SQL Injection 공격 패턴 찾는 방법

URL 인코딩된 패턴

주요 탐지 키워드

grep으로 SQLi 시도 탐지

`bash grep -iE "(union.select|or.1=1|drop.table|information_schema|sleep\(|benchmark\(|load_file|xp_cmdshell)" \ /var/log/nginx/access.log `

URL 인코딩 포함:

`bash grep -iE "(%27|%22|%3b|union|select|insert|delete|drop|exec)" \ /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -rn `

공격 시도의 단계별 패턴

1단계: 취약점 탐지

` GET /product?id=1' GET /product?id=1" `

오류 메시지 유발을 통해 SQL 파서 반응 확인

2단계: 컬럼 수 파악

` GET /product?id=1+ORDER+BY+1-- GET /product?id=1+ORDER+BY+5-- `

3단계: 데이터 추출

` GET /product?id=0+UNION+SELECT+1,database(),3,4-- GET /product?id=0+UNION+SELECT+1,username,password,4+FROM+users-- `

애플리케이션 코드 레벨 대응

SQL Injection의 근본적 해결은 파라미터 바인딩입니다.

취약한 코드 (PHP 예시):

`php $query = "SELECT * FROM users WHERE id = " . $_GET['id']; `

안전한 코드 (PDO 파라미터 바인딩):

`php $stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?"); $stmt->execute([$_GET['id']]); `

MITRE ATT&CK 매핑

SQL Injection 공격은 로그에 UNION SELECT, OR 1=1` 같은 특징적인 문자열이 그대로 기록됩니다. 로그 모니터링으로 조기 탐지하고, 앱 코드에서 파라미터 바인딩으로 근본적인 방어를 갖추는 것이 핵심입니다.