SQL INJECTION:

SQL인젝션은 웹 애플리케이션이 데이터베이스와 연동하는 모델에서 발생 가능함

이용자의 입력값이 SQL구문의 일부로 사용될 경우, 해커에 의해 조작된 SQL 구문이 데이터베이스에 그대로 전달되어 비정상적인 DB명령을 실행시키는 공격기법

 

1. 인증우회

 로그인 인증 쿼리문이 무조건 TRUE가 나오게 하여 인증을 무력화 시키는 방법이다.

 

2. 데이터 노출

 데이터베이스와 관련된 에러를 역추적 하여 데이터를 얻음

 

3. 원격명령 실행

 파라미터를 조작하여 , 저장 프로시져를 삽입하여 원하는 행위를 함

+ Recent posts