Web - Security/Injection
-
SQL Injection 종류와 발생 원리 - 2Web - Security/Injection 2023. 5. 8. 23:40
Error Based SQL Injection Error Based SQL Injection이란 특정한 입력값을 제공하여 데이터베이스 시스템에 비정상적인 SQL 쿼리를 실행시키는 것 비정상적인 SQL 쿼리는 데이터베이스 시스템에서 오류를 발생시키므로, 악의적인 사용자는 이 오류 메시지를 활용하여 데이터베이스 시스템에 대한 정보를 추출할 수 있다 위 질의문에 '(작은따옴표) 만 입력 후 전송 버튼을 눌러보았다 질의문의 결과는 위와같이 에러메시지가 고객의 화면에 나타나게 된다 이 에러메시지가 보임으로써 악의적인 이용자는 이곳에서는 MariaDB라는 서버를 사용하고 있음을 알 수 있고 아이디 부분을 작은따옴표가 아닌 큰따옴표를 이용하여 질의문이 작성되어 있다는 정보를 알 수 있게 된다 그리고 에러 메시지의 마..
-
SQL Injection 종류와 발생 원리 - 1Web - Security/Injection 2023. 5. 8. 22:44
SQL이란? SQL은 Structured Query Language의 약자로, 데이터베이스를 관리하고 검색하는 데 사용되는 표준 프로그래밍 언어이다 SQL은 관계형 데이터베이스 관리 시스템(RDBMS)에서 많이 사용되며, 데이터를 삽입, 업데이트, 삭제, 검색하는 데 사용된다 위 식은 가장 간단한 SQL 질의문이다 위 식의 의미는 test 라는 테이블에서 모든 열의 정보를 가져오라는 질의문이다 위 식은 member라는 테이블에서 user_id, password 를 가져오라는 질의문이다 실행 결과로 member 테이블에 있는 모든 아이디와 비밀번호를 가져온다 위 식에서 홍길동이라는 사람의 정보만 가지고 오고 싶어서 뒤에 WHERE 라는 조건절을 추가해 줬다 질의 결과는 홍길동이라는 사람의 id와 비밀번호만..