코딩 공부
<SQL Injection Attack> 01. SQL 인젝션 활용 본문
SQL Injection 이란?
SQL injection 은 코드 인젝션의 한 종류로서 클라이언트의 입력값을 조작하여 해당 서버의 데이터베이스를 공격하는 방식을 말한다.
클라이언트 - 서버 구성에서 사용자가 서버에 접속하기 위해 사용하는 프로그램 또는 서비스를 뜻한다.
가장 흔한 웹해킹 방법이며 데이터베이스를 손상시키거나 중요한 정보에 접근하려 쓰인다. 이 기법은 OWASP 에서 수년 동안 보안 위협 1순위로 분류되는 만큼 주의가 필요하다.
SQL in Web Pages
SQL injection은 보통 웹페이지에서 사용자에게 데이터베이스에 접근하는 입력창 (username 같이)에 SQL 코드를 입력하여 admin 이 모르는 사이에 데이터베이스를 실행시킨다.
예를들어 1=1은 항상 true 값이라는것을 활용하여
userid:
이런식으로 넣으면 SQL statement 은 SELECT * FROM Users WHERE UserId = 105 OR 1=1;
이런 문장이 된다. 여기서 OR 은 둘 중 하나라도 true 면 true 값이기때문에 UserId = 105 OR 1=1; 의 값은 항상 true 가 된다.
출처 -
https://namu.wiki/w/SQL%20injection
SQL injection - 나무위키
여기서 "Robert'); DROP TABLE students;--"학생을 "학생 이름" 자리에 넣을 경우 다음과 같은 명령문이 된다. 첫 번째 줄에서는 Robert라는 학생이 입력되었지만, 두 번째 줄에서 학생들의 데이터가 있는 테이블을 제거한다. 그리고 세 번째에서는 뒤에 오는 내용을 모두 주석 처리한다. 결과적으로 ‘모든 학생 기록을 삭제한다.’라는 뜻의 명령문이 완성된다. 로그인 폼에 아이디와 비밀번호를 입력하면 입력한 값이 서버로 넘어가고, 데이
namu.wiki
https://www.w3schools.com/sql/sql_injection.asp
SQL Injection
SQL Injection SQL Injection SQL injection is a code injection technique that might destroy your database. SQL injection is one of the most common web hacking techniques. SQL injection is the placement of malicious code in SQL statements, via web page input
www.w3schools.com
'워게임 풀이 연습' 카테고리의 다른 글
| <webhacking.kr> old-16 (0) | 2020.03.28 |
|---|---|
| <webhacking.kr> old-14 (0) | 2020.03.27 |
| <webhacking.kr> old-06 (0) | 2020.03.19 |
