코딩 공부
<SQL Injection Attack> 01. SQL 인젝션 활용 본문
SQL Injection 이란?
SQL injection 은 코드 인젝션의 한 종류로서 클라이언트의 입력값을 조작하여 해당 서버의 데이터베이스를 공격하는 방식을 말한다.
클라이언트 - 서버 구성에서 사용자가 서버에 접속하기 위해 사용하는 프로그램 또는 서비스를 뜻한다.
가장 흔한 웹해킹 방법이며 데이터베이스를 손상시키거나 중요한 정보에 접근하려 쓰인다. 이 기법은 OWASP 에서 수년 동안 보안 위협 1순위로 분류되는 만큼 주의가 필요하다.
SQL in Web Pages
SQL injection은 보통 웹페이지에서 사용자에게 데이터베이스에 접근하는 입력창 (username 같이)에 SQL 코드를 입력하여 admin 이 모르는 사이에 데이터베이스를 실행시킨다.
예를들어 1=1은 항상 true 값이라는것을 활용하여
userid:
이런식으로 넣으면 SQL statement 은 SELECT * FROM Users WHERE UserId = 105 OR 1=1;
이런 문장이 된다. 여기서 OR 은 둘 중 하나라도 true 면 true 값이기때문에 UserId = 105 OR 1=1; 의 값은 항상 true 가 된다.
출처 -
https://namu.wiki/w/SQL%20injection
https://www.w3schools.com/sql/sql_injection.asp
'워게임 풀이 연습' 카테고리의 다른 글
<webhacking.kr> old-16 (0) | 2020.03.28 |
---|---|
<webhacking.kr> old-14 (0) | 2020.03.27 |
<webhacking.kr> old-06 (0) | 2020.03.19 |