injection 해결
-
SQL - injectionCS 지식/데이터베이스(Database) 2023. 4. 19. 11:44
SQL injection 해커에 의해 조작된 SQL 구문이 데이터베이스에 그대로 전달되어 비정상적인 DB 명령을 실행시키는 공격 기법 아래 2 조건을 충족해야 SQL injection 공격 가능 웹 애플리케이션이 DB와 연동되어 있다. 외부 입력값이 DB 쿼리문으로 사용된다. SQL injection 공격 목적 및 영향 1. 인증 우회 - 로그인을 우회하여 인증 획득 2. DB 데이터 조작 및 유출 3. 시스템 명령어 실행 SQL injection 공격 유형 (일반적인) SQL injection 1) 쿼리 조건 무력화 (Where 구문 우회) [1] 주석을 의도적으로 삽입 UserId : admin'-- Password: 아무거나 => Select * From Users Where UserID = 'ad..