📓 Codegear_Archive

SQL Injection Data Extraction SQL Injection을 이용한 데이터 추출(Data Extraction) 데이터 추출(Data Extraction) 데이터 추출을 위한 사전확인 SQL 인젝션이 일어나는 곳 1. DB 데이터를 사용하는 곳인가? 2. 그 데이터가 화면에 나오는가? 안나오는가? (DB에 있는 데이터가 웹 페이지에(화면에) 나오는 경우와 나오지 않는 경우가 있다.) > 웹페이지에 데이터가 나오는 경우 ex) 게시판 > 나오지 않는 경우 ex) 로그인 기능, 아이디 중복 체크 (내용이 나오는 것이 아니고 있다 or 없다, 옳다 or 틀리다만 알려줌) SQL Injection은 DB 데이터를 사용하는 곳에서는 잠재적으로 실행 가능하다. 그래서 우리는 어떻게 하면 원하는 데..

인증 (Authentication) Bypass with SQL Injection SQL Injection SQL Injection이란? 말 그대로 SQL 질의문을 삽입하여 서버 측에서 준비된 SQL 질의문을 변조하는 공격을 의미한다. 사용자가 입력하는 입력값에 대해 검증을 제대로 하지 않는 취약점을 가지고 있으면 SQL문을 끼워 넣을수 있다는 것이다. 공격자가 입력창에 악의적으로 SQL 문을 끼워넣어 공격하는 것이 바로 SQL Injection이다. SQL문을 입력창에 적으면 무엇을 할 수 있기에 이것을 공격이라고 할까? 요청을 처리하는 과정에서 필요한 데이터가 보관된 DB가 존재하고, 요청에 따라 해당 DB를 CRUD(저장,조회,수정,삭제)하는데 필요한 SQL Query가 준비되어있다. 좀 더 자세히..

모의 해킹 스터디 - 과제 03주차(1) 로그인 페이지 보완 모의 해킹 스터디 - 2주차 과제 (마이페이지 - 나의 정보) 모의 해킹 스터디 - 과제 02주차(3) (마이페이지 - 나의 정보) 모의 해킹 스터디 - 2주차 과제(3) (마이페이지 - 나의 정보) 모의 해킹 스터디 - 과제 02주차(2) (회원가입/로그인 페이지 구현)의 Develop 과제 모의 해킹 스터디 - 과제 02주차(2) (회원가입/로그인 페 codegear-archive.tistory.com 로그인 페이지 구현의 Develop 과제 비밀번호 변경 회원정보 수정 회원탈퇴 변경점 (리디렉션 변경) home.php mypage.php 추가된 코드 비밀번호 변경 edit_pw.php change.php 회원정보 수정 edit.php up..

모의 해킹 스터디 2주차 실습 WAS - DB 연결 php - mysql 연동 db_connection.php (MySQL 데이터베이스가 사용하는 기본포트(port)번호는 3306) 동일 서버/ 동일 컴퓨터에 web/was/db가 존재하기 때문에 localhost localhost = 127.0.0.1 mysqli_connect('localhost', '*****', '***********', 'db'); 위와 같이만 쓰면 티켓을 끊어다가 땅바닥에 버리는 행위 따라서 위의 코드 블럭처럼 $db_conn 과 같이 변수를 지정하여 넣어줘야 함 $db_conn = mysqli_connect(DB_SERVER, DB_USERNAME, DB_PASSWORD, DB_NAME); $db_conn 라는 변수에 저장 연..

모의 해킹 스터디 - 2주차 과제(3) (마이페이지 - 나의 정보) 모의 해킹 스터디 - 과제 02주차(2) (회원가입/로그인 페이지 구현)의 Develop 과제 모의 해킹 스터디 - 과제 02주차(2) (회원가입/로그인 페이지 구현) 모의 해킹 스터디 - 2주차 과제(2) (회원가입/로그인 페이지 구현) 모의 해킹 스터디 - 1주차 과제(간이 로그인 페이지 제작) 모의 해킹 스터디 - 1주차 과제(간이 로그인 페이지 제작) 모의 해킹 스 codegear-archive.tistory.com 추가 구현 마이페이지 - 나의 정보 추가된 코드 mypage.php 이전페이지(home.php) 마이페이지 회원탈퇴 mypage.php Mypage 뒤로가기 session 변수의 정보를 기반으로, SELECT 를 이용..

모의 해킹 스터디 - 2주차 과제(2) (회원가입/로그인 페이지 구현) 모의 해킹 스터디 - 1주차 과제(간이 로그인 페이지 제작) 모의 해킹 스터디 - 1주차 과제(간이 로그인 페이지 제작) 모의 해킹 스터디 - 1주차 과제 (간이 로그인 페이지 제작) 제작 조건 DB 연결 X ID / PW == admin / admin1234 입력시 로그인 로그인 페이지 꾸미기 (CSS / Bootstrap 이용) 추후 원하는대로 적용 가능하도록 하 codegear-archive.tistory.com 1주차 (간이 로그인 페이지) 과제의 Develop 과제 회원가입 기능 추가 (기능 구현) 회원 가입 정보 (DB 저장) 로그인 페이지 (DB 연동) 동작 과정 첫 화면인 htt[://192.168.xxx.xxx:101..

DB/SQL 에 대한 이해 DB (DataBase) 데이터베이스 데이터를 저장 데이터를 관리하는 엑셀 프로그램과 거의 동일 DB의 구조 Database DB에 Database가 존재 엑셀 파일과 비슷한 큰 조각들 Table Excel의 Sheet와 동일 (엑셀시트) 관리하고 싶은 비슷한 종류 끼리의 묶음 Column 열, 세로 데이터 데이터 종류, 카테고리 Row 행, 가로 데이터 데이터 한 세트(set) DBMS(데이터베이스 관리 시스템) MySQL용 DBMS 관리 도구 : phpMyAdmin 연결 세부 정보 : 관리 도구에서 호스트 이름 또는 IP주소, 포트 번호, 데이터베이스 이름, 사용자 이름 및 암호를 포함한 연결 세부 정보를 찾음 DB 접속 docker에 이미 설치된 상태로 이용 apache ..