문자 - URL Encoding: %0a - ex) no=1%0aor%0aid='admin' 2) Tab (\t) - 커서를 한 tab만큼 이동시키는 문자 - URL Encoding: %09 - ex) no=1... 문자 - URL Encoding: %0d - ex) no=1%0dor%0did='admin' 4) 주석...
SQL Injection > 해커에 의해 조작된 SQL 쿼리문이 데이터베이스에 그대로 전달되어 비정상적 명령을 실행시키는 공격 기법 📍 SQL Injection SQL Injection 이란 악의적인 사용자가 보안상의 취약점을 이용하여, 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위 입니다. 인젝션 ...
웹 해킹의 다양한 공략법 및 구조가 존재하며, 보안이 취약한 웹 페이지들은 악의적인 해커들로 인해 정보가 유출될 수 있습니다. 다양한 공격방법 중에 가장 쉬운 공격이면서, 취약점으로 손꼽힐 수 있는 SQL Injection 에 대해 알아보겠습니다.
URL encoding이란? 단순하게 말하자면 URL로 사용할 수 없는 문자들을 사용할 수... 예를들어 한글, 특수문자, 예약문자등등은 URL에 직접 사용할 수 없다. 인코딩 규칙은 RFC...
SQL injection 이란 SQL injection(SQLi)은 웹 보안 취약점으로, 공격자가 application을 이용하여... 다음 URL을 요청한다. https://insecure-website.com/products?category=Gifts 요청되면 application이...
Union Based SQL Injection에 이어 Blind SQL Injection에 대해 알아보도록 하겠습니다. Blind SQL Injection 은 데이터베이스 조회 후 결과를 직접적으로 확인할 수 없는 경우 사용하는 공격 기법입니다. 흔히 사용자로부터 입력받은 데이터를 비교해 참/거짓을 구분 짓고, 참/거짓의 결과에 따른 특별한 응답을 생...
SQL Injection 1. SQL 인젝션이란? 2. SQL 인젝션의 종류와 공격 방법 3. SQL 인젝션 실습 4. SQL 인젝션... 예를 들어서 '자격증 번호 조회'를 클릭하면 url이 http://license12345.com/mysearch?=anjinma 가 된다고...
url encoding 우리가 url에 sql injection 공격을 수행한다고 가정했을 때 url encoding은 우리가 사용할 수 있는 유용한 웹 방화벽 우회법입니다. 우리가 ..... union select ..... 라는 구문을 활용하여 sql...
WebGoat 문자열 SQL구문삽입 (String SQL Injection) 실습설명서 ; 이 문서는 WebGoat 7.0.1의 " Injection Flaws" > "String SQL Injection"의 실습 설명서이다. 웹브라우저가 전달하는 사용자의 입력값을 서버가 검증하지 않고 SQL해석기(SQL Parser)에 전달할 때 발생할 수 있는 문제점을 배울 수 있다. WH-WebGoat-7.0.1 웹해킹 훈련장을 구동한다. 구동에 관해서는 WH-WebGoat-7.0.1 라이브 ISO 문서를 참조한다. 여기서 WebGoat 훈련장의 IP주소는 192.168.189.238 ...
1. Blind SQL Injection 1-1 SQL Injection 개념 □ 사용자의 입력 값에 대한 검증이 미흡하여 발생하는 취약점으로 SQL문을 삽입해 동작 시킴으로써 인증을 우회하거나 데이터 베이스에 있는 중요한 정보들을 직접적으로 추출할 수 있다. 보통 개인정보나 파일 등의 민감한 데이터들이 보관되어있기 때문에 위험도가 높은 취약점으로 분...