SQL 인젝션 공격의 원리 1. SQL 인젝션 공격에 취약점이 발생하는 곳은 웹 애플리케이션과 데이터베이스가 연동되는 부분에 공격자가 임의의 SQL 명령어를 삽입하여 공격 2. 보통 사용자 로그인 부분 , 게시물 검색 부분 , 우편번호 검색 부분 , 자료실 등이 대표적 이다 . SQL injection 공격의 정의 1. SQL injection 공격 : “파라미터를 이용한 쿼리의 재구성” è 웹 어플리케이션이 뒷 단에 있는 Database에 질의(쿼리)를 하는 과정 사이에 일반적인 값 외에 악의적인 의도를 갖는 구문을 함께 삽입하여 공격자가 원하는 SQL 쿼리문을 실행하는 대표적인 웹해킹기법 SQL injection 공격 예시 구글에서 inurl:.php?id= 를 검색하게 되면 웹주소에 .php?id=..
SQL_injection에 대해서 알아보며 , 이것을 통해 무엇을 할 수 있고 , 어떻게 사용되는지 알아보겠다. Webgoat는 sql_injection 실습환경을 제공해 주고 있으며 , 문제를 제공함으로써 가이드를 제공해 주고 있었다. 실습을 하기 위해 다음화면 처럼 sql_injection 을 클릭해 준다. 구성형태는 보면 , 1~6번까지는 개념을 설명 ( 약간 Document 처럼 ) 해 주고 있다. 원래는 빨간색인데 , 문제를 풀게 되면 초록색 버튼으로 바뀐다. 이건 여담인데 , 문제를 풀지 않아도 , 초록색 버튼으로 바뀌는 버그가 있다고 한다.. 나는 전혀 그렇지 않았다. 위 그림은 첫번째 페이지 , 즉 간단한 개념과 , 목표를 설명해 주고 있다. 간략하게 말해보자면 , 여기에서는 SQL을 구성..
SQL 인젝션 공격의 원리 1. SQL 인젝션 공격의 원리 è SQL 인젝션 공격에 취약점이 발생하는 곳은 웹 애플리케이션과 데이터베이스가 연동되는 부분에 공격자가 임의의 SQL 명령어를 삽입하여 공격하는 것 2. SQL injection 공격 : “파라미터를 이용한 쿼리의 재구성” è 웹 어플리케이션이 뒷 단에 있는 Database에 질의(쿼리)를 하는 과정 사이에 일반적인 값 외에 악의적인 의도를 갖는 구문을 함께 삽입하여 공격자가 원하는 SQL 쿼리문을 실행하는 대표적인 웹해킹기법 SQL injection 공격 예시 1. 구글에 inurl:.php?id=를 검색한다 2. 그러면 웹주소에 .php?id=가 포함된 모든 웹사이트를 검색한다 구글에 입력하면 다음과 같은 결과값들이 뜨는데 공통적인 사항들은..
SQL 인젝션 공격 연습을 하기 위해서는 Webgoat 깔려 있어야 한다 깔려 있다는 가정하에 진행하겠다.1.guest로 로그인하고 Injection flaws 하단에 stage 1 : String SQL injection 클릭 2.인증을 우회하기 위해서 SQL 문자열 삽입을 이용해야 한다. SQL 인젝션 공격을 통해 정확한 패스워드없이 관리자 ('Neville')로 로그인한다. 클릭 후 비밀번호을 입력해 주는데 , 아무번호나 입력해 본다.그러면 다음과 같이 로그인 실패 화면이 뜰 것이다. 3.우리는 다음과 같이 admin으로 로그인을 해주고 , 비밀번호는 ‘or’‘=’ 입력해준다. 4.로그인 성공 화면이 다음이다. 5. 간단한 인증 우회 SQL 문자열 삽입 C:\Users\user\Desktop\3학년..