[사이버 탐험 : 보안의 첫걸음] OWASP Juice-Shop을 통해 알아보는 SQL Injection

author: Y3bb1, BBangu195, ycl Posted on 2025-09-25 In 사이버 탐험 series

💡OWASP Juice-Shop이란?

‘OWASP Juice-Shop’이란 OWASP(Open Web Application Security Project)에서 만든 웹 애플리케이션 보안 취약점 실습용 프로젝트예요. 주요 웹 취약점인 OWASP Top 10 취약점들이 실제 적용되어 있어, 이 취약점들을 직접 테스트하고 학습할 수 있는 환경을 제공한답니다.

Juice-Shop을 통해 실습을 진행하기 위해서는, Burp Suite나 Foxy Proxy 같은 프록시 툴을 이용하기 때문에 주로 리눅스 환경에서 실습을 진행합니다.

🧃Juice-Shop 설치하기

본격적인 내용을 시작하기 전에, 먼저 Juice-Shop을 설치하는 방법을 간단히 소개할게요.
Juice-Shop을 리눅스에 설치하는 방법은 정말 다양하지만, 저는 그중 Docker로 설치하는 방법을 추천합니다. 가장 빠르고 간단한 방법이기 때문이죠!
(⚠️해당 설명은 칼리 리눅스 기준으로 되어있습니다!)

우선 docker --version 명령어로 칼리 리눅스에 도커가 설치되어 있는지 확인합니다.
만약 설치되어 있지 않다면,

sudo apt update
sudo apt install docker.io -y

를 차례로 입력해 도커를 설치해주세요.

다음은 도커 서비스 시작 및 부팅 시 자동으로 시작하기 위한 설정입니다.

sudo systemctl start docker
sudo systemctl enable docker

를 차례대로 입력해 주세요.

이제 설치가 거의 끝나갑니다!!

sudo docker pull bkimminich/juice-shop

명령어로 Juice-Shop 도커 이미지를 다운로드해 주세요.

여기까지가 도커를 이용한 Juice-Shop의 설치 과정이었습니다! 간단하죠~?😉
이제 sudo docker run --rm -p 42000:3000 bkimminich/juice-shop 명령어로 Juice-Shop 컨테이너를 실행하면 로컬의 42000포트가 컨테이너 내부의 3000포트로 연결될 거예요. 이후 https://127.0.0.1:42000 같은 URL이 뜨면 접속해 주세요!

Juice-Shop에 성공적으로 진입하면,

그림 1. [Juice-Shop 메인화면]

이런 메인 화면이 실행됩니다. 실제 주스를 판매하고 있는 사이트 같지 않나요?
이 페이지를 시작으로, 실제 웹페이지처럼 로그인 화면, 장바구니, 상품 설명 등도 잘 구현되어 있으니 한 번씩 살펴보는 재미가 쏠쏠하답니다!

이번 9월 호에서는 SQL Injection에 대해 간단히 다뤄보려고 하는데요, Juice-Shop에는 SQL Injection에 관련한 챌린지가 준비되어 있어 Juice-Shop을 이용하면 챌린지를 해결하는 과정을 통해 많은 지식을 얻을 수 있고, 시각적인 이해도 가능해요!

그럼 이제 본격적으로 SQL Injection에 대해 간단히 알아본 뒤, Juice-Shop의 챌린지를 통해 간단한 실습을 진행해 보겠습니다-!🚀

💡SQL Injection

🔎SQL Injection이란?

그림 2. [SQL인젝션]

SQL Injection은 웹 애플리케이션의 취약점을 악용해 악의적인 SQL 코드를 삽입하고, 이를 통해 데이터베이스를 조작하거나 불법적으로 접근하는 공격 기법을 의미해요.

여기서 SQL 이란 ‘Structured Query Language’의 약자로, 데이터베이스에서 데이터를 조회, 삽입, 수정, 삭제하는 등 관리를 위해 사용하는 표준 언어예요. 쉽게 말해, 데이터베이스에 명령을 내려 원하는 데이터를 다루는데 쓰이는 언어랍니다.
SELECT name, age
FROM users
WHERE age > 20
ORDER BY age DESC;
이 코드는 간단한 SQL 코드 예시인데요, 코드에서 SELECT name, age라는 부분은 users 테이블에서 name과 age 속성을 선택해 조회한다는 뜻이에요. FROM users는 조회 대상 테이블이 users임을 지정하고, WHERE age > 20은 age가 20보다 큰 행만 필터링해 선택한다는 의미입니다.
마지막으로 ORDER BY age DESC는 조회 결과를 age 속성을 기준으로 내림차순(DESC)으로 정렬합니다.

id	name	age	email
1	Alice	25	alice@example.com
2	Bob	19	bob@example.com
3	Charlie	30	charlie@example.com
4	Diana	22	diana@example.com

예를 들어, 이러한 테이블에서 SQL쿼리를 실행하면 age가 20보다 큰 Alice, Charlie, Diana가 선택되며, age는 내림차순으로 정렬한다고 하였으므로 결과는 Charlie(30), Alice(25), Diana(22)순서가 됩니다.
요약해 보면, SQL은 데이터베이스에서 데이터를 편리하게 다루기 위한 명령어 집합이라고 볼 수 있어요!

다시 Injection 이야기로 돌아가보면, 애플리케이션은 사용자의 입력을 기반으로 SQL쿼리를 생성해 데이터베이스와 상호작용하는데요, 입력 데이터에 대한 검증이 제대로 이루어지지 않는다면 공격자는 입력 필드에
악성 SQL 코드를 주입해 데이터베이스를 제어할 수 있게 됩니다.

따라서 이러한 공격의 결과로 개인 정보 탈취, 웹 페이지 내용 변조, 권리자 권한 탈취 등의 심각한 문제가 발생할 수 있어요.

🔥SQL Injection의 공격 유형

1. Error Based SQL Injection
첫 번째 유형은 Error Based SQL Injection입니다. 이 유형은 데이터베이스에서 발생하는 Injection으로, 공격자가 SQL 쿼리에서 의도적으로 오류를 발생시켜 오류메시지에 나타나는 정보를 통해 데이터베이스 구조나 정보를 파악하는 공격 기법을 의미해요. 예시 코드를 한 번 살펴볼까요?
SELECT * FROM users WHERE id = '1' OR 1=1; 은 취약한 쿼리의 예시입니다.
이 경우, ' AND (SELECT 1/0 FROM users)-- 명령어는 1/0은 0으로 나누기 오류를 유발해 데이터베이스에서 에러 메시지를 반환하게 해요. 따라서 그 내용으로 테이블 및 컬럼 정보가 유추될 수 있답니다.

2. Union SQL Injection
두 번째 유형은 Union SQL Injection입니다. 공격자가 SQL의 UNION 명령어를 사용해 원본 쿼리와 동일한 형태의 악성 쿼리를 추가해, 사용자 정보, 로그인 계정 및 시스템 정보 등을 탈취합니다. 여기서 UNION 명령어란, SQL에서 여러 개의 SELECT 쿼리 결과를 하나로 합치는 집합 연산자입니다. 예시로
SELECT name FROM students
UNION
SELECT name FROM teachers;
라는 쿼리는 students와 teachers 테이블에서 name 컬럼 데이터를 모두 모아 한 결과로 출력하며, 중복을 제거합니다.
이제 UNION SQL Injection의 예시 코드를 한 번 살펴볼게요.
SELECT id, name FROM users WHERE id = '$input';은 취약한 쿼리의 예시입니다.
이때 UNION Injection이 구현된 ' UNION SELECT username, password FROM users--명령어는 id 입력값 대신 UNION SELECT 구문을 삽입해, users 테이블의 username과 password 데이터를 같이 조회하게 만듭니다.

3. Blind SQL Injection
세 번째 유형으로는 Blind SQL Injection이 있는데요, 이 공격에서 공격자는 SQL 쿼리에 조건을 삽입하고, 서버 응답 결과나 응답 시간을 통해 조건의 참/거짓을 판별합니다. 이를 여러 번 반복하면 데이터베이스의 정보를 점진적으로 탈취하게 된답니다. 예를 들어보면,
참/거짓 조건에 따라 다른 동작을 유도하는
' AND 1=1-- -- (TRUE, 정상 동작)
' AND 1=2-- -- (FALSE, 결과 없음)
명령어가 있을 때,
' AND (SELECT CASE WHEN (SUBSTRING((SELECT password FROM users WHERE username='admin'),1,1)='a') THEN 1/0 ELSE 1 END)--는 서버의 응답 차이나 시간 지연 등으로 참/거짓을 판단해서 데이터를 추출하게 하는 명령어입니다.

4. Stored Procedure SQL Injection
마지막 유형은 Stored Procedure SQL Injection입니다. 이 유형은 데이터베이스에 저장된 저장 프로시저의 취약점을 이용하는 공격 기법으로, 공격자는 저장 프로시저에 악성 SQL 코드를 삽입해 데이터베이스를 제어합니다. 저장 프로시저의 권한을 이용해 데이터베이스 전체를 장악할 수 있다는 점에서 위험한 유형이라고 해요. 예를 들어, 취약한 프로시저가
CREATE PROCEDURE sp_login (@loginid NVARCHAR(25), @password NVARCHAR(25))
AS
BEGIN
DECLARE @sql VARCHAR(500)
SET @sql = 'SELECT * FROM users WHERE loginid = ''' + @loginid + ''' AND password = ''' + @password + ''''
EXEC (@sql)
END
라면, 동적 쿼리로 입력값을 직접 문자열로 합치게 되어,
loginid = ' OR 1=1--
password = anything
이러한 Injection 입력값을 입력하면 SQL Injection에 취약해집니다.

그림 3. [Login Admin]

챌린지를 해결하려면, score board라는 페이지에 우선 접속해야 해요. 해당 페이지에 접속하면 해결할 수 있는 여러 챌린지가 나옵니다.

사진에 보이는 건 Login Admin이라는 챌린지에요. Juice-Shop의 거의 모든 챌린지에는 ‘Hint’라는 아이콘이 등장하는데, 이 힌트를 통해 해당 챌린지에 사용해야 할 공격 기법이 무엇인지, 어떤 방식으로 해결해야 하는지 가이드라인을 제공해 줍니다!

그림 4. [Login Admin-Hint]

힌트를 살펴보면, 맨 첫 줄에 ‘이 챌린지 설명에서 어떤 형태로 공격해야 하는지가 이미 힌트로 주어졌을 가능성이 큽니다’라는 언급이 있네요. 또한 마지막 줄에 SQL Injection’이라는 언급이 있는 게 보이시나요?
힌트를 통해 이게 바로 문제 해결의 실마리라는 것을 알 수 있습니다!

그럼 이제 본격적으로 챌린지를 해결해볼까요~?🚀

그림 5. [Login]

우선, Admin(관리자)계정으로 로그인을 해야하는 챌린지이니 로그인 페이지로 들어가 보도록 하겠습니다.

그림 6. [Login page]

로그인 페이지에 접속하면 이메일과 비밀번호를 입력한 뒤, 로그인을 할 수 있는 화면이 나오는데요, 이제 이 페이지에서 본격적으로 SQL Injection을 실습해 보도록 하겠습니다.

우선, SQL Injection을 시도해 볼 수 있는 가장 좋은 포인트는 이메일 필드에 큰따옴표(“) 나 작은 따옴표(‘) 같은 인용 문구를 삽입해 보는 것입니다.

그림 7. ['error]

하지만 위 사진에서 확인할 수 있듯, [object Object] 라는 에러 메시지가 뜨며 SQL Injection에 실패합니다.
다음 시도를 해보기 전에 여기서 잠깐! [object Object]는 어떤 의미를 나타내는 에러였을까요?🔎

SQL에서 작은 따옴표(')를 사용하는 정확한 문법은 'swing'과 같이 문자열을 작은 따옴표로 감싸는 형태입니다. 하지만 위에서와 같이'만 적는다면 SQL 문법 오류가 발생하게 되고, 결론적으로 [object Object] 오류는 자바스크립트에서 객체를 문자열로 표시하려 할 때의 오류로 인해 나타나는 현상이 되는 것이지요.

그렇다면 다른 방법으로 SQL Injection을 시도해 보겠습니다.

그림 8. [' OR true]

위의 사진에서와 같이 ' OR true를 사용하는 이유는 무엇일까요?🔎
바로 SQL에서 OR true는 논리 연산에서 참(True)을 의미하는 조건을 강제로 넣는 것이기 때문입니다. 여기서 OR은 ‘또는’이라는 의미가 있는 논리 연산자이며, true는 SQL에서 항상 참을 뜻하는 예약어이지요.
즉, 조건문을 항상 참으로 만들어서 쿼리가 조건에 상관없이 실행되도록 하는 역할을 수행합니다.

그림 9. [' OR true 실패]

하지만 이러한 방식으로도 SQL Injection을 성공적으로 해내지 못했습니다. 왜 아까와 같은 [object Object]라는 에러 메시지가 뜨는 것일까요?🔎
앞서 이야기했듯, SQL에서 문자열은 반드시 작은따옴표로 감싸야 합니다.
하지만 ' OR true에서 OR앞의'를 서버가 문자열을 시작하는 의미로 받아들이게 된다면, 결국 ' OR true는 완전하지 않은 문자열이 되며, 다른 의미로는 어떠한 문자열이 제대로 닫히기 전에 그것이 항상 참이라는 조건을 넣어버리게 되는 것이지요.

자, 그럼 이제 어떻게 해야 SQL Injection에 성공할 수 있을까요?
결론부터 말씀드리자면, 이메일 필드에 단순히 '혹은 ' OR true같이 미완성의 문자열만 삽입하는 것이 아닌' OR true --라는 완성된 SQL 문법적으로 오류가 없는 문자열을 삽입해야 합니다.

그림 10. [' OR true-- ]

이렇게 말이죠!

--는 SQL에서 주석 표시로, 이후의 쿼리 문장은 무시됩니다. 따라서 ' OR true --는 문자열 경계를 닫고, 조건을 참으로 만들며 뒤의 문장을 주석 처리하여 SQL 쿼리를 정상적으로 변조하는 인젝션 기법이 됩니다!

그림 11. [관리자 계정]

성공적으로 관리자 계정에 로그인한 것을 확인할 수 있습니다.🎉

그림 12. [Login Jim]

이번에는 Jim이라는 사람의 계정으로 로그인하는 SQL Injection을 시도해 보려고해요.
챌린지 해결의 시작은 항상 Hint와 함께 합니다-!🚀

그림 13. [hint]

오, 이번 힌트에서도 역시나 챌린지 설명에서 힌트를 얻을 수 있다는 글과 ‘SQL Injection’ 이라는 언급이 있군요!
그렇다면 이번 챌린지도 ‘Login Admin’ 과 비슷한 방식으로 진행해 보도록 하겠습니다.

하지만 그 전에, 먼저 고려해야 할 몇 가지 사항이 있어요. 바로 “이메일 필드에 무엇을 먼저 적어야 하는가?”인데요, 만약 앞선 챌린지를 진행한 방식과 동일하게 시도한다면 성공해도 분명 Jim의 계정이 아닌 Admin계정에 로그인이 될 거예요.
따라서 Jim의 계정에 대한 힌트가 될만한 게 있는지 Juice-Shop을 먼저 둘러보도록 할게요.🚀

그림 14. [jim email]

엇! 메인화면을 둘러보다 보니, Jim이라는 사람이 상품에 대한 댓글을 달았네요! 그렇다면 jim@juice-sh.op이 바로 Jim의 이메일이겠군요!
우선 Jim의 이메일을 알아냈으니, 로그인 페이지로 가 로그인을 한 번 시도해보겠습니다.

그림 15. [jim 로그인 시도]

역시..당연하게도 Jim의 이메일은 알아내도 비밀번호를 알아내지 못하면 로그인을 할 수 없었습니다.🤦‍♀️
하지만 hint에서도 언급되었듯, 이번 챌린지 또한 SQL Injection을 이용하는 챌린지이니 앞선 챌린지와 비슷한 방식으로 해결하면 되겠군요!

그 전에, 앞선 챌린지에서 사용한 '--형태에 대해 조금 정리하는 시간을 가져보려고 합니다.
우선 작은 따옴표(‘)는 문자열을 닫는 역할을 하며, -- 는 주석을 의미한다는 것을 우리는 이미 알고 있습니다.
그렇다면, '--는 실제로 어떤 의미로 해석될까요?

예를 들어, ‘swing33@gmail.com‘ 이라는 이메일이 있고, 이 이메일을 swing33@gmail.com'-- 로 적었다고 가정해봅시다.
이런 경우 실제로 해석되어 실행되는 부분은 swing33@gmail.com까지이며, '-- 뒤의 나머지 부분은 주석 처리되어 무시됩니다.
왜냐하면 로그인 프로그램에서 이메일과 패스워드가 일치하는지 확인하기 위해
SELECT * FROM users WHERE email = 'swing33@gmail.com' AND password = 'mypassword';
와 같은 조건이 있을 가능성이 높기 때문입니다. 여기서, 이 명령어를 조금 더 살펴보고 갈까요~?

우선 SELECT *는 users 테이블에 존재하는 모든 속성을 조회한다는 의미입니다. FROM users는 조회할 대상 테이블이 users임을 나타냅니다.
마지막으로 WHERE email = 'swing33@gmail.com' AND password = 'mypassword';는 email 속성값이 ‘swing33@gmail.com‘ 그리고 password 속성 값이 ‘mypassword’인 행만 조회한다는 의미입니다. AND는 두 조건이 모두 참일 때만 해당하는 데이터를 보여줍니다. 따라서 이 명령어는 데이터베이스의 users 테이블에서 email 값이 ‘swing33@gmail.com‘이고, password 값이 ‘mypassword’인 사용자의 모든 정보를 조회하라는 명령입니다!

그림 16. ['-- 원리]

다시 '-- 이야기로 돌아가 보면, SELECT * FROM users WHERE email = 'swing33@gmail.com' AND password = 'mypassword';같은 조건은 위의 사진에서도 확인할 수 있듯 이메일 부분까지는 정상적으로 해석되지만, 이메일 바로 뒤에 '--를 붙이게 되면 AND부터 패스워드를 입력하는 부분까지 주석 처리되어 무시됩니다. 이러한 원리를 이용한다면, 굳이 Jim의 비밀번호를 알지 못해도 Jim의 이메일만으로도 충분히 로그인이 가능해집니다!

그림 17. [jim 로그인]

다시 Jim의 로그인 페이지로 돌아와, 앞서 알아낸 사실들을 토대로 jim@juice-sh.op'-- 을 시도해 보겠습니다.

그림 18. [jim 로그인 성공]

역시나 로그인에 성공해 Jim의 계정에 진입할 수 있었습니다!🎉

이제 챌린지를 모두 해결했지만, 한 가지 의문점이 남습니다. 왜 Admin 계정으로 로그인할 때는 구체적인 이메일 정보 없이도 우회가 가능한 반면, Jim 계정으로 로그인하려면 Jim의 이메일을 정확히 알아야 했을까요?🔎

바로 관리자 계정에 로그인할 때는 ' OR true-- 같은 단순 조건을 써서 로그인 우회가 가능했기 때문이에요. 쿼리가 사용자명 검증만 하거나 첫 번째 일치하는 사용자를 반환하기 때문이죠. 즉, OR true 조건이 참이 되어 결국 첫 번째 사용자, 보통 관리자 계정으로 로그인되는 것입니다.

하지만 Jim 계정으로 로그인할 때 jim@juice-shop'--처럼 정확한 이메일을 찾아야했던 이유는, 쿼리가 이메일 같은 고유 식별자를 엄격히 검사하는 구조이기 때문이에요. 단순 OR true만으로는 특정 사용자로 로그인할 수 없고, 특정 사용자 계정으로 로그인하려고 하는 경우 그 사용자의 이메일이나 아이디를 반드시 알아야 합니다.
요컨대, OR true는 무차별적인 로그인 우회를 위한 것이고, jim@juice-shop'-- 같은 패턴은 특정 사용자를 타겟팅하는 방식인 것입니다.

그래서 관리자 계정 우회는 조건을 항상 참으로 만들어서 첫 사용자를 뽑는 게 가능해 비교적 쉽지만, 특정 사용자 로그인 우회는 대상 이메일이나 이름 같은 정확한 값을 알아야 하므로 더 복잡해요.

💡SQL Injection 관련 툴 소개

지금까지 Juice-Shop을 통해 SQL Injection 공격이 어떤 방식으로 이뤄지는지에 대해 알아보았으니, 이제 SQL Injection과 관련된 다른 도구들에는 어떤 것들이 있는지 간단히 소개해보려고 해요.

1. SQL Fiddle

SQL Fiddle은 웹 브라우저에서 SQL 쿼리를 테스트할 수 있는 사이트로, Oracle, MySQL 등의 다양한 데이터베이스와 버전을 지원하고 있어요. 사용자가 직접 테이블을 생성해 값을 추가할 수 있으며, 자체적으로 샘플 데이터를 제공하기 때문에 손쉽게 사용해 볼 수 있습니다.

2. Pentest Monkey

Pentest Monkey는 대표적인 Cheat Sheet 사이트예요. 데이터별 Cheat Sheet를 제공하고 있으며, 다양한 공격 페이로드를 제공해 주기 때문에 참고하기 좋아요. 하지만 의도하지 않은 결과가 발생할 수 있기 때문에 공격 페이로드에 대한 충분한 이해 후 사용하는 것을 권장합니다.

3. sqlmap

sqlmap은 SQL Injection 취약점을 탐지/진단하고 자동화해 공격할 수 있는 오픈소스 침투 테스트 도구예요. 데이터베이스 구조 파악과 데이터 추출 등을 자동화해 주기 때문에 시간을 절약할 수 있습니다. 하지만 과도한 네트워크 트래픽을 유발해 서버에 영향을 미칠 수 있으므로 실무에서는 잘 쓰이지 않으며, 개인용 테스트 서버에서의 사용을 권장한다고 해요.

💡SQL Injection 대응 방안

여기까지 열심히 SQL Injection의 공격 방식에 대해 알아보았으니, 이제 어떤 식으로 방어해야 하는지도 살펴봐야겠지요~?

1. 사용자 입력 값 검증 로직 구현
우선 가장 대표적인 대응 방안으로는 사용자 입력 값 검증 로직 구현이 있어요. SQL Injection 취약점은 사용자 입력 값에 임의의 SQL 쿼리를 삽입해 공격자 의도에 맞게 SQL쿼리 문이 완성되는 약점을 이용한 것이죠. 따라서 이러한 공격을 방지하기 위해서는 SQL 쿼리문의 변수가 되는 사용자 입력 값에 SQL 쿼리문을 구성하는 특수문자, SQL 구문, 함수 등의 문자를 검증하는 로직을 구현하면 된답니다!
SQL 쿼리문을 성립하게 만드는 대표적인 특수문자로는 작은 따옴표('), 큰 따옴표("), 세미콜론(;), 주석 구분 기호(--,#) 등이 있어요.

2. 필터링 방식
두 번째 대응 방안으로는 필터링 방식입니다. 필터링은 블랙 리스트 기반 필터링과, 화이트 리스트 기반 필터링으로 나뉘어요.
블랙 리스트 기반 필터링은 특정 문자, 키워드 혹은 특수문자를 제한하는 방식으로, 앞서 살펴본 SQL 쿼리문을 구성하는 특수문자들과 SQL 예약어들이 주 대상입니다. 반면 화이트 리스트 기반 필터링은 허용된 문자를 제외한 나머지를 허용하지 않는 방식이에요. 허용된 문자 이외의 문자는 허용하지 않으므로, 블랙 리스트 기반 필터링 방식보다는 보안성 측면에서 훨씬 더 강력한 효과를 지닌답니다!

3. 에러 메시지 출력 방지
마지막으로 소개할 방안은 에러 메시지 출력 방지예요. SQL Injection공격 중 Error Based SQL Injection 공격이 존재하는데요, 해당 공격은 DBMS 에러를 의도적으로 유발해 출력되는 DBMS 에러 메시지 내에 원하는 SQL 쿼리의 결과를 출력하는 방식이죠. 이를 방지하기 위해 에러 발생 시 출력되는 에러 메시지 자체를 출력되지 않게 설정해야 합니다.

지금까지 Juice-Shop을 이용한 SQL Injection에 대해 공부해보았는데요, 다들 어떠셨나요~?

단순히 SQL Injection이라는 공격 기법만 본다면 다소 이해가 되지 않고 어렵게 느껴지지만 유용한 툴들을 이용해 공부하면 훨씬 빨리, 손쉽게 이해할 수 있답니다!👍

OWASP Juice-Shop에는 SQL Injection뿐만 아니라 정말 다양한 공격 기법들을 공부할 수 있는 챌린지가 가득하니까 웹 해킹을 처음 공부하시는 분들이 한 번 사용해보시는 건 어떨까요~?😊

그럼 아쉽지만 오늘의 주제는 여기서 마무리하고, 다음에는 새롭고 재밌는 주제로 찾아올게요!🤗

참고자료

Wallarm. (2025, June 18). What is Structured Query Language Injection (SQLi)? Part 1. Wallarm. https://www.wallarm.com/what/structured-query-language-injection-sqli-part-1
SK쉴더스. (2025, February 19). XSS 공격 vs SQL 인젝션, 차이점과 예방 가이드. SKshieldus. https://www.skshieldus.com/blog-security/security-trend-idx-45
해킹스터디패드. (n.d.). 보안맨. HackingStudypad. https://hackingstudypad.tistory.com/206
SecurityHacker. (n.d.). [Web Application-모의해킹] SQL Injection : 대응 방안 #3-1. SecurityHacker. https://securityhacker.tistory.com/entry/Web-Application-%EB%AA%A8%EC%9D%98%ED%95%B4%ED%82%B9-%EC%8B%9C%ED%81%90%EC%96%B4%EC%BD%94%EB%94%A9-SQL-Injection-3-1
Invicti. (n.d.). SQL Injection Cheat Sheet. Invicti. https://www.invicti.com/blog/web-security/sql-injection-cheat-sheet/
PortSwigger. (n.d.). What is SQL Injection? Tutorial & Examples. Web Security Academy. https://portswigger.net/web-security/sql-injection