정보보안 스토리

SQL Injection 공격 ->코드 인젝션의 한 기법으로 클라이언트의 입력값을 조작하여 서버의 데이터 베이스를 공겨할 수 있는 공격방식이며 주로 사용자가 입력한 데이터를 제대로 필터링 하지 않았을 경우 발생합니다. 공격은 쉬운데 파괴력이 어마어마하며 자주 일어납니다. - Web Application에서 입력 받아 데이터베이스로 전달하는 정상적인 SQL 쿼리를 변조, 삽입하여 불법 로그인, DB 데이터 열람, 시스템 명령 실행 등을 수행하여 비정상적인 데이터베이스 접근을 시도하는 공격 기법 - 조작한 입력으로 데이터베이스를 인증 절차 없이 접근 및 자료를 무단 유출하거나 변조 할 수 있음 - 무료 SQL Injection 취약점 스캐너 - Nikto : GNU 기반 오픈 소스로 웹서버 및 SQL Inj..

취약한 웹 어플리케이션 DVWA를 통한 취약점 진단 실습입니다. 실습 : SQL Injection 난의도 : LOW SQL Injectin 이란? 웹 개발자가 SQL 질의에 대한 공격 가능성을 배제하고, SQL 질의를 신뢰할 수 있는 명령으로 판단함을 가정합니다. SQL 질의에서 접근 제어를 우회, 일반적인 인증 및 인증 확인을 무시, SQL 질의가 OS 레벨 명령을 할 수있는 공격입니다. 꽤 오래된 취약점임에도 불구하고 최근에도 많은 사고사례가 발생하고 있습니다. 위와 같이 입력이 가능한 폼에서, SQL Injection 공격이 가능한지 확인하기 위해 싱글쿼터 '를 입력 시도 입력 시 위와 같은 에러 발생, 여기서 알수있는 것은 싱글쿼터에 대한 검증이 이뤄지지 않고 있음과 MySQL를 사용하고 있다는 ..

@ SQL Injection 공격 - Web Application에서 입력 받아 데이터베이스로 전달하는 정상적인 SQL 쿼리를 변조, 삽입하여 불법 로그인, DB 데이터 열람, 시스템 명령 실행 등을 수행하여 비정상적인 데이터베이스 접근을 시도하는 공격 기법 - 조작한 입력으로 데이터베이스를 인증 절차 없이 접근 및 자료를 무단 유출하거나 변조 할 수 있음 - 무료 SQL Injection 취약점 스캐너 - Nikto : GNU 기반 오픈 소스로 웹서버 및 SQL Injection에 대한 취약점 점검, 리눅스 기반 - SQLMap : 블라인드 SQL Injection을 자동으로 수행하는 도구로 python에서 개발 - Absinthe : GUI 기바의 도구로 블라인드 SQL Injection 취약점에 이..