| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- 자바스크립트
- 파이썬
- github
- Pwndbg
- burp suite
- 메소드
- htmlspecialchars
- xss game 풀이
- lord of sql injection
- python
- 배열
- blind sql injection
- 백준 알고리즘
- sql injection
- document
- 함수
- 포인터
- 객체
- 백준 파이썬
- 김성엽 대표님
- suninatas 풀이
- property
- IF문
- 조건문
- window
- element 조회
- object
- 사칙연산
- jQuery
- xss game
- Today
- Total
목록SQL (2)
power-girl0-0
SQL Injection
해당 글은 개념을 간단히 정리하고자 작성한 글로, 실습은 다른 글에서 진행하였습니다. 개요 웹 어플리케이션이 database에 접근하는 과정에서, 악의적인 사용자가 악의적인 SQL문을 실행시켜 데이터베이스를 비정상적으로 조작하는 해킹 방법이다. 로그인 요청을 하면, DB는 계정 정보가 있는 테이블에서 해당 계정이 존재하는지 확인해야 한다. 종류 1. Error based SQL Injection ( =논리적 에러를 이용한 SQL Injection ) 논리적 에러를 발생시킬 수 있는 패턴을 이용한 인증 우회 기법이다. SQL Injection에서 가장 많이 쓰이며 대중적인 공격기법이다. 2. union SQL injection union 키워드는 두 개의 쿼리문에 대한 결과를 통합해서, 하나의 테이블로 보..
SQL 인젝션(GET/Search)
SQL 인젝션이란? 사용자가 입력값을 서버에서 검증하지 않고 데이터베이스 쿼리 일부분으로 인식하여 데이터베이스의 정보가 노출되거나 인증이 우회되는 취약점 - 해당 공격은 사용자가 데이터를 입력할 수 있는 곳 어디에서든 발생가능하다. - SQL쿼리를 변수에 입력하여 데이터베이스 정보를 획득하거나 시스템 내부를 파악하는 공격이다. 1. SQL Injection (GET/Search)를 선택합니다. 2. 검색창에 작은따옴표(')를 입력하여 SQL 인젝션이 가능한지 알아본다. ('sqli_1.php' 페이지는 영화 제목을 검색하고 데이터베이스에서 조회한 결과를 보여주는 페이지이다.) 입력결과 SQL 오류 메시지를 출력하는 것을 확인할 수 있다. (SQL 인젝션 취약점이 존재할 경우 SQL 오류 메시지를 출력한다..