정보보안/모의해킹10 모의해킹 강의(SQL Injection Part1) 6 모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1강의주소 : https://www.inflearn.com/course/sql-injection-secure-coding-1/dashboard 데이터 조회 공격이란?SQL 구문 삽입으로 인해 데이터를 조회하여 정보를 불법 탈취하는 것 순서취약점 분석 1) 에러유무 2) 취약점유무 3) 조건구문완성 환경분석 1) dbms 파악 2) 공격 적합성 검토 공격 기법 선택 1) error-based 2) blind-based 3) union-based 4) out of band 공격 검증 데이터 조회 공격 1) 기본 정보 목록화 2) 메타 데이터 목록화 3) 데이터 목록화 환경분석 상세, 실습1) dbms 파악 - 차.. 2024. 10. 21. 모의해킹 강의(SQL Injection Part1) 5 모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1강의주소 : https://www.inflearn.com/course/sql-injection-secure-coding-1/dashboard 인증 우회 공격이란?정상적인 아이디가 아닌 sql 구문 삽입을 통해 인증을 우회하는 것 (ex 로그인 기능 우회) 공격 전 확인 1. 에러확인, 싱글쿼터 ' 입력 => Fatal error: Call to a member function fetch_assoc() on a non-object in C:\APM_Setup\htdocs\login\loginAction.php on line 22 에러 발생 ( * 절대 경로 노출시 파일 업로드 취약점의 단서가 됨 ) 2. 취약점.. 2024. 10. 18. 모의해킹 강의(SQL Injection Part1) 4 모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1강의주소 : https://www.inflearn.com/course/sql-injection-secure-coding-1/dashboard 인증 우회 공격이란? 정상적인 아이디가 아닌 sql 구문 삽입을 통해 인증을 우회하는 것 (ex 로그인 기능 우회) 예시) ' or 1=1 -- 같은 구문으로 우회할 경우 모든 레코드가 반환되어 첫 번째 레코드 정보로 로그인 처리 될 수 있다 인증 기능 : 식별가능한 id, pw 등을 입력하여 인가된 사용자만이 시스템을 이용할 수 있도록 함 php 기반 로그인 기능 제작 경로 : C:\APM_Setup\htdocs\login 파일 : index. login, login.. 2024. 10. 16. 모의해킹 강의(SQL Injection Part1) 3 모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1강의주소 : https://www.inflearn.com/course/sql-injection-secure-coding-1/dashboard MYSQL의 경우>> You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' or writer like '%test'%' or content like '%test'%' order by idx desc' at line 1 검색창에 싱글쿼터 ' 입력시 나타나는 데이터베이스 에러 tt'a.. 2024. 10. 15. 이전 1 2 3 다음