728x90
SQL Injection
SQL Injection 이란 악의적인 사용자가 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위 입니다. 인젝션 공격은 공격이 비교적 쉬운 편이고 공격에 성공할 경우 큰 피해를 입힐 수 있는 공격입니다.
String SQL Injection
1) SQL문장을 파악하기 위해 고의적으로 SQL 에러를 발생시켜 줍니다
ex)SELECT * FROM user WHERE name = ' Input data ';
~ 에 "를 넣으면 SELECT * FROM user WHERE name = ' ' '; 가 되어 구문오류를 일으키고 에러화면을 띄울 수 있습니다
에러화면이 나타난다면 테이블명은 user이고 name컬럼 있다는 사실을 알게 되겠습니다
2) 이 문장을 참으로 만들어 로그인을 성공시켜 줍니다
' or TRUE -- 가 된다면 SELECT * FROM user WHERE name = '' or TRUE -- ';
--은 주석이기 때문에 해당 문자는 참이 되며 로그인에 성공합니다
728x90
반응형
'💻CS > 정보보안' 카테고리의 다른 글
| 해킹 기초 - XSS 공격 ( Cross Site Scripting)2 - Reflected XSS (0) | 2022.04.15 |
|---|---|
| 해킹 기초 - SQL Injection sql 삽입 공격 2 (0) | 2022.03.08 |
| 해킹 기초 - 패스워드 찾기 (0) | 2022.03.05 |
| 해킹 기초 - 어셈블리 명령어 (0) | 2022.03.03 |
| 해킹 기초 - 스테가노그래피 steganography (0) | 2022.03.02 |
댓글