README.md

Django QuerySet.order_by() SQL Injection (CVE-2021-35042)

화이트햇 스쿨 2기 - 문서진 (@anstjwls)

요약

• Django의 QuerySet API인 order_by에서 입력값을 검증하지 않아, SQL injection이 가능
• DB의 버전, 테이블 이름 등 세부 내용들을 공격자가 확인할 수 있음

환경 구성 및 실행

• docker compose up -d를 실행하여 테스트 환경을 실행 (django 3.2.4버전)
• your-ip:8000/vuln에 접속하여 db 정보 확인
• python3 poc.py your-ip:8080/를 호출하여 반환 결과를 읽음
  • SQL 인젝션을 통해 결과에서 "HTTP 응답 본문" 의 DB버전을 확인할 수 있음

결과

정리

SQL injection 공격은 데이터베이스의 정보를 노출시키거나 조작할 수 있으며, 심지어 데이터베이스 외부의 시스템 명령어를 실행하여 시스템을 손상시킬 수도 있다. 따라서 입력 유효성 검사, 매개 변수화된 쿼리 사용, ORM(Object-Relational Mapping) 라이브러리 사용 등의 보안 조치를 적용해야 한다.