| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
- sql injection
- server side request forgery
- sql 문법
- Open Web Application Security Project
- sql select
- 암호화 실패
- owasp 2022
- SQL 쿼리문
- sql 공부
- ISMSP
- owasp 가이드
- web shell공격
- web shell
- 보안 설정 오류
- CSRF
- ssrf
- SQL
- SQL 자격증
- sql 개발자
- blind sql injection
- 해킹
- SQL ORDER BY
- sql join
- sql group by
- owasp 취약점
- 정보보안컨설팅
- SQLD
- sql developer
- sql injection 공격
- 잘못된 접근 제어
- Today
- Total
목록blind sql injection (3)
MetaCODING
Blind SQL Injection 공격 및 복습
https://zrr.kr/xL8S SQL(Structured Query Language) Injection 공격 개념 취약점 웹서버와 DB서버가 연동되는 웹 서비스 중 사용자의 입력을 받는 화면이 로그인 화면, 검색 입력 창 등 존재하고 입력 받는 문자열에 별도의 처리없이 데이터베이스 조회를 위한 SQL 구문이 사용 metacoding.tistory.com Blind SQL Injection Blind SQL(Structured Query Language) Injection은 데이터베이스에 True&False을 하고 애플리케이션의 응답에 따라 답변을 결정하는 SQL Injection 공격의 한 유형이다. 이 공격은 웹 애플리케이션이 일반 오류 메시지를 표시하도록 구성되었지만 SQL Injection에 ..
웹 서비스 기반 주요 위협 SQL Injection
[SQL Injection] 내가 입력할 수 있는 영역에 진단을 수행함(입력값) 웹 사이트를 둘러보다가 DB에 질의할 것 같은 페이지에서 진단을 수행 ※인증우회 - ' or 1=1 -- - ' or '1'='1 - ' or 'a'='a - ' or '222222'='222222 - ETC.... ※Error-Based SQL Injection - DB에러가 출력되고, 에러 메시지가 친절할 때 = ' and db_name() > 1 -- (DB이름) = ' having 1=1 -- (Table, 첫번째 column) = ' group by num, user_id -- (컬럼들) = ' or 1 in (select user_id from members where num > 0) -- = ' or 1 in (..
SQL(Structured Query Language) Injection 공격 대응방안(2)
Blind SQL Injection Boolean based 불 방식의 SQL Blind SQL Injection은 데이터베이스로부터 특정한 값과 데이터를 전달받지 않고 단순히 참과 거짓의 정보만 알 수 있을 때 사용합니다. 로그인 폼에 SQL Injection이 가능하다고 유추되면 서버가 응답하는 로그인 성공과 로그인 실패 메시지를 이용하여 DB의 테이블 정보 등을 추출해 낼 수 있습니다. 블라인드 공격은 에러 기반 공격과 다르게 DB 서버 에러 메시지를 이용하지 않고 바로 DB를 공격합니다. 이 공격은 DB 취약점을 노리고 공격하는 기법보다 성공하기 어렵긴 하지만 꾸준히 발생하는 공격 중 하나입니다. 위의 그림은 Blind Injection을 이용하여 데이터베이스의 테이블 명을 알아내는 방법입니다. ..