SQL2 Error-based SQL Injection Error-based SQL Injection이란SQL문을 작성 및 실행하여 발생한 에러 메시지에 원하는 데이터를 함께 출력하게 하여 데이터를 탈취하는 기법으로, 한번에 하나의 데이터만 출력할 수 있어 UNION SQL Injection보다는 번거로운 부분이 있지만 마찬가지로 데이터베이스에 직접 접근하여 중요 데이터를 탈취할 수 있다는 점에서 위험한 취약점 공격 중 하나이다.Error-based SQL Injection은 서브쿼리에서 실행한 데이터를 1개씩 밖에 확인 할 수 없기 때문에 원하는 데이터를 찾아내기 위해서는 데이터가 몇 개인지, 원하는 데이터는 어떻게 정렬해서 뽑을지 알아야 한다. 예시Step1. 데이터 개수 출력하기해당 웹사이트는 모의해킹을 위해 만들어진 가상의 웹사이트이며, 따라서 출력된.. 2024. 8. 19. Union SQL Injection Union SQL Injection이란?SQL문의 UNION 함수를 이용하여 데이터베이스에서 정보를 빼내는 SQL Injection 공격 중 하나이다.정상적으로 입력창에 입력한 뒤 출력된 결과 + union으로 추가로 요구한 데이터베이스 정보가 함께 출력되어 주요 데이터가 유출되기에 굉장히 위험하면서도 기초적인 취약점 진단 내용 중 하나이다. 예시어떠한 웹페이지에 주소 '동'을 입력하여 검색한 결과 해당 동에 맞는 우편번호를 출력하는 기능이 있다고 가정할 때, 해당 검색을 통해 데이터베이스에서 정보를 가져오는 코드는 아래와 같으며, DB는 Oracle로 되어 있다고 가정한다. 아래의 실습은 실제 상용화되어 있는 웹페이지가 아닌, 모의해킹을 위해 만들어진 가상의 웹사이트를 가지고 실행한 실습으로 출력된 데.. 2024. 8. 19. 이전 1 다음
