us1s

SQL INJECTION : 웹 프로그램의 코드에 대한 허점을 이용하여 서버 및 DB에 접근하는 해킹 기법 SQL Injection는 공격 포인트 찾기가 중요하다. 흔히 Web Page에 접속 시 주소창에 표시되는 URL은 보여주기 식에 불과하다. 그렇기 때문에 서버 및 DB에 접근하기 위한 루트를 찾아야 한다. 자!, 지난 시간에 이어 좀 더 세분화 하여 알아보도록 하자. 공격 방법 탐색 공격하기 위해 정보를 수집하는데 크게 2가지 과정이 있다. 수동 방법 : URL을 통한 SQL Injection은 ? 혹은 = 으로 구성된 URL이 있어야 한다. (→ 직접적으로 서버와 통신하는 부분이기 때문이다.) 자동 방법 : 프로그램을 이용하여 공격할 Web Page를 (ex. Web cruiser 등) 스캔할 ..

SQL (Structured Query Language) 란? 데이터 베이스로 정보를 관리하기 위해 사용하는 언어 Select : 정보를 출력할 때 사용 Insert : 정보를 삽입할 때 사용 Update : 정보를 수정할 때 사용 Delete : 정보를 삭제할 때 사용 SQL Injection은 주로 SELECT문을 사용하여 이뤄지는 해킹 기법이며, DB에서 기본적인 문법은 다음과 같다. SELECT 필드명 FROM 테이블/ 쿼리 이름 WHERE 조건식 ORDER BY 정렬기준 ASC(기본값= 생략가능) / DESC * 쿼리문의 문법 위치는 바뀔 수 없다. * 그렇다면 다음과 같은 LIST 테이블이 주어질 때, 웹에서 로그인 정보를 요청하는 쿼리문의 예시는 어떻게 될까 ID PW NAME BIRTHDA..