| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
- ISMSP
- sql 개발자
- SQL 쿼리문
- owasp 2022
- sql select
- sql group by
- web shell
- SQL 자격증
- owasp 가이드
- SQL ORDER BY
- CSRF
- ssrf
- sql injection
- SQLD
- SQL
- owasp 취약점
- sql injection 공격
- web shell공격
- 정보보안컨설팅
- sql join
- 암호화 실패
- 잘못된 접근 제어
- blind sql injection
- server side request forgery
- sql 공부
- 해킹
- sql developer
- Open Web Application Security Project
- sql 문법
- 보안 설정 오류
- Today
- Total
목록sql injection (6)
MetaCODING
SQL 문법(1)
★ SELECT * FROM : 테이블에 뭐가 있는지 보는것 SELECT * FROM users u SELECT * FROM users u LIMIT 10 SELECT email, name FROM users u LIMIT 10 SELECT name FROM users u ★ 테이블 행이 몇개 있는지 : 행 개수 SELECT COUNT(*) FROM users u ★ SELECT 필드명1, 필드명2, ... FROM 테이블이름 약자 GROUP BY 필드명 SELECT name , COUNT(*) AS 이름갯수 FROM users GROUP BY name SELECT a.email , COUNT(*) FROM users a GROUP BY a.email -- 1. 어느 테이블에서 가져오는지 => 테이블 이..
SQL 인젝션 sql injection 공격 및 예방 복습
https://zrr.kr/JWxJ 웹 서비스 기반 주요 위협 SQL Injection [SQL Injection] 내가 입력할 수 있는 영역에 진단을 수행함(입력값) 웹 사이트를 둘러보다가 DB에 질의할 것 같은 페이지에서 진단을 수행 ※인증우회 - ' or 1=1 -- - ' or '1'='1 - ' or 'a'='a - ' or '222222'='222 metacoding.tistory.com SQL 인젝션(SQL Injection)은 웹 애플리케이션 보안에서 중요한 주제 중 하나다. SQL 인젝션은 악의적인 공격자가 웹 애플리케이션의 입력 필드를 통해 악성 SQL 쿼리를 실행하도록 하는 공격 기술이다. 이로 인해 데이터베이스에 무단 접근하거나 데이터를 삭제, 수정 또는 탈취 등의 피해를 입을 수 ..
Blind SQL Injection 공격 및 복습
https://zrr.kr/xL8S SQL(Structured Query Language) Injection 공격 개념 취약점 웹서버와 DB서버가 연동되는 웹 서비스 중 사용자의 입력을 받는 화면이 로그인 화면, 검색 입력 창 등 존재하고 입력 받는 문자열에 별도의 처리없이 데이터베이스 조회를 위한 SQL 구문이 사용 metacoding.tistory.com Blind SQL Injection Blind SQL(Structured Query Language) Injection은 데이터베이스에 True&False을 하고 애플리케이션의 응답에 따라 답변을 결정하는 SQL Injection 공격의 한 유형이다. 이 공격은 웹 애플리케이션이 일반 오류 메시지를 표시하도록 구성되었지만 SQL Injection에 ..
웹 서비스 기반 주요 위협 SQL Injection
[SQL Injection] 내가 입력할 수 있는 영역에 진단을 수행함(입력값) 웹 사이트를 둘러보다가 DB에 질의할 것 같은 페이지에서 진단을 수행 ※인증우회 - ' or 1=1 -- - ' or '1'='1 - ' or 'a'='a - ' or '222222'='222222 - ETC.... ※Error-Based SQL Injection - DB에러가 출력되고, 에러 메시지가 친절할 때 = ' and db_name() > 1 -- (DB이름) = ' having 1=1 -- (Table, 첫번째 column) = ' group by num, user_id -- (컬럼들) = ' or 1 in (select user_id from members where num > 0) -- = ' or 1 in (..
SQL(Structured Query Language) Injection 공격 위험성(1)
SQL인젝션 공격은 대표적으로 DB를 공격해서 개인정보 등의 정보를 탈취하는 방식입니다. 예컨대, 어떤 웹사이트가 있는데 사용자 아이디가 ‘korea' --’이고 비밀번호는 ‘사용자pw’으로 설정했을때 사용자 아이디와 비밀번호를 제대로 입력해야 해당 웹사이트 DB에 접속해 정보를 볼 수 있는 것입니다. SQL Injection은 사용자 비밀번호를 제대로 입력하지 않고 해커가 임의로 여러 문자 조합을 이용해 DB에 접속해 비밀번호를 볼 수 있게 도와주는데 아이디로 ‘사용자id’를 넣고, 비밀번호로 '사용자pw’를 입력하여 DB에 접근해 정보를 탈취합니다. 구글 검색을 통해 공격 대상 웹사이트에 추가적인 문자열을 입력하여 웹사이트 접속 오류를 유도한 다음, 해당 웹사이트 관리자 모드로 들어가 내부 정보를 빼..
SQL(Structured Query Language) Injection 공격 개념 취약점
웹서버와 DB서버가 연동되는 웹 서비스 중 사용자의 입력을 받는 화면이 로그인 화면, 검색 입력 창 등 존재하고 입력 받는 문자열에 별도의 처리없이 데이터베이스 조회를 위한 SQL 구문이 사용될 경우, 정상적인 SQL 구문 인자 값의 변조를 통해 데이터 베이스 접근 및 임의의 SQL Query문을 실행할 수 있습니다. SQL Injection은 데이터베이스에 직간접적으로 악영향을 줌으로써 치명적이죠. 만연하게 사용되어 온 웹 해킹 공격법 SQL Injection은 웹 애플리케이션 사용자 입력 값에 필터링이 제대로 안되어 있을 때 발생합니다. 공격자가 조작된 SQL 질의문을 삽입하여 웹서버 DB 정보를 열람하거나 정보를 유출·조작합니다. SQL Injection을 이해하려면 우선 SQL이 무엇인지 알고 넘..