인젝션 심화

핵심 개념

SQL Injection을 넘어 Command Injection, LDAP Injection, NoSQL Injection까지 다룹니다. 모든 외부 입력을 파라미터화하고 입력 검증 레이어를 구축하는 방어 코딩 패턴을 실습합니다.

코드 분석

SECURITY📋 코드 (1줄)

STEP·30 / SECURITY / CHAPTER 30 — 인젝션 심화# Command Injection 방어// ❌ 취약: 사용자 입력을 shell 명령에 직접 삽입exec(`ping ${req.query.host}`, callback)// 공격: host=8.8.8.8; rm -rf /&nbsp;// ✅ 화이트리스트 + execFile로 인자 분리import { execFile } from 'child_process'const host = req.query.host as stringif (!/^[a-zA-Z0-9.-]+$/.test(host)) throw Error('Invalid')execFile('ping', ['-c', '1', host], callback)&nbsp;// ✅ NoSQL Injection 방어 (MongoDB)User.find({ email: { $eq: req.body.email } })

AI 프롬프트

🤖 AI에게 잘 물어보는 법 — 모델·전략별 프롬프트

Claude

무료: Sonnet 4.6 / Pro $20/mo: Opus 4.6

이 '인젝션 심화' 코드에서
OWASP Top 10 관점의 보안 취약점을 찾고
안전한 코드로 수정해줘.

ChatGPT

무료: GPT-5.5 / Plus $20/mo: GPT-5.5 Pro

'인젝션 심화' 공격 방어 코드를
단계별로 구현해줘.
실전 페이로드 예시도 포함해서.

Gemini

무료: 2.5 Flash / Pro $19.99/mo: 3.1 Pro

이 웹 앱의 '인젝션 심화' 관련 보안 헤더·인증 로직을
전체 분석해서 취약점·우회 가능 케이스·로그 누락을
우선순위 리포트로 만들어줘.

Grok

무료: Grok 4.1 / SuperGrok $30/mo

'인젝션 심화' 취약점이 실제 해킹 사건·CVE에서
얼마나 자주 발견되는지 2026년 기준
솔직한 데이터로 알려줘.

⭐ 이것만 기억하세요

인젝션 심화는 이 3가지만 확실히 잡으세요

1.SQL Injection만 방어하면 NoSQL Injection, Command Injection, LDAP Injection이 여전히 취약합니다

2.모든 사용자 입력을 신뢰하지 않고, 각 컨텍스트(SQL/OS/NoSQL)에 맞는 이스케이프·파라미터화를 적용합니다

3.다음 챕터에서 모의해킹 환경을 직접 설정합니다

💬 이 챕터 질문 보기

SECURITY · CH.34 — 질문하거나 답변을 확인하세요

→

진행도 34 / 84

← 커리큘럼으로 ← 목록으로 (화이트햇 보안)