sql injection (1) 썸네일형 리스트형 SQL injection[Non-blind/Blind] SQL INJECTION웹 애플리케이션이 사용자의 입력값을 검증하지 않고 SQL 쿼리에 삽입해버리는 취약점Database를 조작하거나 정보를 탈취할 수 있음[ SQL Injection 공격 시 정보 수집 순서 ]취약점 확인 (문법 오류)특수문자를 입력해서 DB 오류 메시지가 뜨는지 확인 (SQL 인젝션 여부 판단)DATABASESQL 명령어로 현재 DB 이름 알아냄TABLEinformation_schema.tables에서 테이블 목록 조회COLUMN (FIELD)원하는 테이블의 column_name 목록을 조회해서 어떤 정보가 저장되어 있는지 파악[ SQL 조건문 논리 연산자 ]SQL Query의 WHERE 조건문을 조작해서 원래 의도와 다른 결과를 만들기 위해 사용ANDORNOT모든 조건이 참일 .. 이전 1 다음
