SQL 인젝션: Difference between revisions
From IT Wiki
No edit summary |
No edit summary |
||
| Line 4: | Line 4: | ||
* 웹 페이지의 입력값을 통해서 SQL명령어를 주입하여 오동작을 일으키는 해킹방법 | * 웹 페이지의 입력값을 통해서 SQL명령어를 주입하여 오동작을 일으키는 해킹방법 | ||
* [[OWASP|OWASP TOP10]]에서 꾸준히 상위권을 유지하는, 가장 흔한 웹해킹 기법 중 하나 | * [[OWASP|OWASP TOP10]]에서 꾸준히 상위권을 유지하는, 가장 흔한 웹해킹 기법 중 하나 | ||
== 블라인드 SQL 인젝션 == | |||
* SQL 인젝션을 통해 단순히 참 거짓을 판단할 수 있는 상황에서 실제 값을 파악하기 위한 공격 | |||
* ex) | |||
<pre> | |||
SELECT * FROM users where id='admin' and ascii(substr(select pw from users where id = 'admin', 1, 1)) < 100 -- and pw='nomatter' | |||
</pre> | |||
* 본 SQL 인젝션을 통해 admin 계정 비밀번호의 첫번째 글자 아스키 코드가 100 이하인지 알 수 있다. | |||
Revision as of 17:06, 15 August 2019
- SQL Injection
- 웹 페이지의 입력값을 통해서 SQL명령어를 주입하여 오동작을 일으키는 해킹방법
- OWASP TOP10에서 꾸준히 상위권을 유지하는, 가장 흔한 웹해킹 기법 중 하나
블라인드 SQL 인젝션
- SQL 인젝션을 통해 단순히 참 거짓을 판단할 수 있는 상황에서 실제 값을 파악하기 위한 공격
- ex)
SELECT * FROM users where id='admin' and ascii(substr(select pw from users where id = 'admin', 1, 1)) < 100 -- and pw='nomatter'
- 본 SQL 인젝션을 통해 admin 계정 비밀번호의 첫번째 글자 아스키 코드가 100 이하인지 알 수 있다.
