정보보안/모의해킹5 모의해킹 강의 5 모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1강의주소 : https://www.inflearn.com/course/sql-injection-secure-coding-1/dashboard 인증 우회 공격이란?정상적인 아이디가 아닌 sql 구문 삽입을 통해 인증을 우회하는 것 (ex 로그인 기능 우회) 공격 전 확인 1. 에러확인, 싱글쿼터 ' 입력 => Fatal error: Call to a member function fetch_assoc() on a non-object in C:\APM_Setup\htdocs\login\loginAction.php on line 22 에러 발생 ( * 절대 경로 노출시 파일 업로드 취약점의 단서가 됨 ) 2. 취약점.. 2024. 10. 18. 모의해킹 강의 4 모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1강의주소 : https://www.inflearn.com/course/sql-injection-secure-coding-1/dashboard 인증 우회 공격이란? 정상적인 아이디가 아닌 sql 구문 삽입을 통해 인증을 우회하는 것 (ex 로그인 기능 우회) 예시) ' or 1=1 -- 같은 구문으로 우회할 경우 모든 레코드가 반환되어 첫 번째 레코드 정보로 로그인 처리 될 수 있다 인증 기능 : 식별가능한 id, pw 등을 입력하여 인가된 사용자만이 시스템을 이용할 수 있도록 함 php 기반 로그인 기능 제작 경로 : C:\APM_Setup\htdocs\login 파일 : index. login, login.. 2024. 10. 16. 모의해킹 강의 3 모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1강의주소 : https://www.inflearn.com/course/sql-injection-secure-coding-1/dashboard MYSQL의 경우>> You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' or writer like '%test'%' or content like '%test'%' order by idx desc' at line 1 검색창에 싱글쿼터 ' 입력시 나타나는 데이터베이스 에러 tt'a.. 2024. 10. 15. 모의해킹 강의 2 모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1강의주소 : https://www.inflearn.com/course/sql-injection-secure-coding-1/dashboard SQL Injection 웹사이트 등 사용자 입력값을 통해 SQL 구문을 주입하는 공격 주요 경로가 웹일 뿐 database ide나 c, c++, python 등을 경로로 쓸 수도 있다 사용자 입력값 : 파라미터, 쿠키 ex) http://test.com?idx=1234동적자원 : 계속 달라지는 사용자 입력값 (ex 검색, 로그인, 게시판 작성 등의 기능) 사고사례 1) 여기어ㄸ : 약 99만건 sql 인젝션을 통해 관리자 세션 탈취, 관리 서비스 접속 2) 뽐ㅃ : .. 2024. 10. 14. 이전 1 2 다음
