SQL Injection(8)
-
SQL injection 개념실습
이전 게시글에서 연습했던 게시글 페이지와 다운로드조회수를 올려주는 페이지를 이용해서 실습을 진행하겠습니다 [ 실습방식 ]① 게시글 페이지에서 GET방식 " http://192.168.6.123/zboard/download?변수=값& ... " 으로 download.php 페이지로 전송한다② download.php 에서는 받아온 변수들을 이용해서 쿼리문을 실행하는 코드가 작성되어있다 ( 이전 게시글 참조 ) ③ 우리는 GET방식으로 넘겨지는 변수의 입력값을 조작하여 비정상적인 쿼리문을 실행시킬 것이다 ( DB내용 수정 등등 가능하다 ) [1] 주석을 활용한 SQL injectioin1> 기존의 GET요청 http://192.168.6.123/zboard/download.php?id=board&page=1&..
2017.09.04 -
SQL injection 개념, 원리
[ 원리 파악 하기 ] SQL injection- 데이터베이스와 연동되어 있는 애플리케이션의 입력값을 조작하여 DBMS가 의도되지 않은 결과를 반환하도록 하는 공격기법- 해당 애플리케이션에서 전송되어 오는 입력값에 대해 필터링이 없을경우 발생한다* DBMS: DataBase Management System ) [ 그림1 ] 게시판에 게시글을 작성하였고, 해당 게시글에는 파일을 첨부하였습니다 해당 파일의 조회수를 알려주는 " Download : 10 " , "Download : 1 " 이 보입니다파일을 다운로드하면 해당 Download가 1씩 증가합니다원리를 파악하기 위해서 페이지 소스코드를 확인해보도록 하겠습니다 [ 그림2 ] 파일이름을 클릭하면 " http://address/download.php " ..
2017.09.01