📓 Codegear_Archive

SQL Injection Data Extraction SQL Injection을 이용한 데이터 추출(Data Extraction) 데이터 추출(Data Extraction) 데이터 추출을 위한 사전확인 SQL 인젝션이 일어나는 곳 1. DB 데이터를 사용하는 곳인가? 2. 그 데이터가 화면에 나오는가? 안나오는가? (DB에 있는 데이터가 웹 페이지에(화면에) 나오는 경우와 나오지 않는 경우가 있다.) > 웹페이지에 데이터가 나오는 경우 ex) 게시판 > 나오지 않는 경우 ex) 로그인 기능, 아이디 중복 체크 (내용이 나오는 것이 아니고 있다 or 없다, 옳다 or 틀리다만 알려줌) SQL Injection은 DB 데이터를 사용하는 곳에서는 잠재적으로 실행 가능하다. 그래서 우리는 어떻게 하면 원하는 데..

인증 (Authentication) Bypass with SQL Injection SQL Injection SQL Injection이란? 말 그대로 SQL 질의문을 삽입하여 서버 측에서 준비된 SQL 질의문을 변조하는 공격을 의미한다. 사용자가 입력하는 입력값에 대해 검증을 제대로 하지 않는 취약점을 가지고 있으면 SQL문을 끼워 넣을수 있다는 것이다. 공격자가 입력창에 악의적으로 SQL 문을 끼워넣어 공격하는 것이 바로 SQL Injection이다. SQL문을 입력창에 적으면 무엇을 할 수 있기에 이것을 공격이라고 할까? 요청을 처리하는 과정에서 필요한 데이터가 보관된 DB가 존재하고, 요청에 따라 해당 DB를 CRUD(저장,조회,수정,삭제)하는데 필요한 SQL Query가 준비되어있다. 좀 더 자세히..