# SQL injection

Database - SQL Injection
악의적인 사용자가 보안상의 취약점을 이용하여, 임의의 SQL 문을 주입시켜 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위OWASP Top10 중 첫 번째에 속하며, 비교적 공격이 쉬우며, 성공하면 큰 피해를 입힐 수 있는 공격이다.논리적 에러를 이용한 SQL I
NoSQL Injection
관계형 DB에서는 스키마를 정의하고 해당 규격에 맞는 데이터를 2차원 테이블 형태로 저장하기 때문에 복잡성이 증가하고 데이터가 많아질 경우 용량의 한계에 다다른다는 한계점이 존재한다.⇒ 이를 해결하기 위해 등장한 것이 비관계형 데이터 베이스(Non-Relational
보안 - XSS, CSRF, SQL INJECTION
사이트 간 스크립팅정적 웹페이지에서는 문제가 발생하지 않지만, 사용자의 입력을 받아 동적으로 HTML을 조작하는 웹 어플리케이션이 주요 공격 대상권한이 없는 사용자(관리자가 아닌 악의적인 사용자)가 웹 페이지에 악성 스크립트를 삽입하여 공격하는 방법의도하지 않은 행동을

Section 4 [인증 / 보안] 기초 (3)
SQL Injection(SQL 삽입)은 웹 해킹을 접한다면 가장 먼저 배우는 공격 기법인 만큼 간단하지만 아주 강력한 공격이다. 이름처럼 데이터베이스에서 임의의 SQL문을 실행할 수 있도록 명령어를 삽입하는 공격 유형으로, 응용 프로그램의 보안상의 허점을 이용해 데이

SQL Injection : 보안의 허점을 이용한 악의적인 SQL 공격기법
웹 해킹의 다양한 공략법 및 구조가 존재하며, 보안이 취약한 웹 페이지들은 악의적인 해커들로 인해 정보가 유출될 수 있습니다. 다양한 공격방법 중에 가장 쉬운 공격이면서, 취약점으로 손꼽힐 수 있는 SQL Injection 에 대해 알아보겠습니다.
SQL Injection_Union Based
해당 사이트에 등록된 사용자 정보(이름, 이메일 주소, 전화번호, 아이디, 패스워드, … 등)를 탈취하시오.
SQL Injection_Union based-2
value 값을 ' 로 변경 해 인젝션이 가능한지 확인한다. 확인 결과 MySQL 에러가 발생한다. 따라서 SQL 인젝션이 가능하다.해당 사이트는 GET method를 사용하고 있으므로 주소창에 쿼리를 질의한다.
SQL Injection(1)
응용 프로그램 보안 상의 허점을 의도적으로 이용해, 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법• 로그인 우회• 데이터 추출,탈취SQL 질의문이 화면에 보이는 경우 실행Union SQL\-> 두 개 이상의 SELECT문의 결과 집
SQL Injection (2)
✔ SQL Injection 공격기법 2. Error Based SQL injection SQL 에러가 응답에 포함되는 경우 실행 에러를 발생시키면서 원하는 질의문을 실행하는 것이 목적 -논리 에러 V -문법 에러 사용할 function 검색 -> updatexml()

[Lord of SQL Injection] #7
문제 풀이 preg_match($pattern, $subject, [, $matches]) : 문자열 안에서 특정한 정규식 패턴의 존재 여부를 찾는데 유용한 함수이다. $pattern : 문자열로 검색할 패턴 $subject : 입력 문자열 [$matches]

[Lord of SQL Injection] #6
문제풀이preg_match($pattern, $subject, , $matches) : 문자열 안에서 특정한 정규식 패턴의 존재 여부를 찾는데 유용한 함수이다.$pattern : 문자열로 검색할 패턴$subject : 입력 문자열$matches : 사용 시 패턴에 매치

[Lord of SQL Injection] #5
1\. 문제2\. 풀이preg_match($pattern, $subject, , $matches) : 문자열 안에서 특정한 정규식 패턴의 존재 여부를 찾는데 유용한 함수$pattern : 문자열로 검색할 패턴$subject : 입력 문자열$matches : 사용 시 패

[Lord of SQL Injection] #4
1\. 문제2\. 풀이preg_match($pattern, $subject, , $matches) : 문자열 안에서 특정한 정규식 패턴의 존재 여부를 찾는데 유용한 함수$pattern : 문자열로 검색할 패턴$subject : 입력 문자열$matches : 사용 시 패

[Lord of SQL Injection] #3
1\. 코드2\. 풀이preg_match($pattern, $subject, , $matches) : 문자열 안에서 특정한 정규식 패턴의 존재 여부를 찾는데 유용한 함수$pattern : 문자열로 검색할 패턴$subject : 입력 문자열$matches : 사용 시 패

[Lord of SQL Injection] #2
이번에 못쓰는 문자열은 다음과 같다.prob, \_(언더바),.(점), (역 슬래쉬)이점은 Level 1이랑 다른 게 없어 보인고 쿼리를 본다.$query = "select id from prob_cobolt where id='{$\_GETid}' and pw=md5(

[Lord of SQL Injection] #1
$query = "select id from prob_gremlin where id='{$\_GETid}' and pw='{$\_GETpw}'";이 부분을 보면 id 와 pw 둘다 참이어야 한다.if($result'id') solve("gremlin");하지만 아이디만
SQL Injection
💡SQL Injection은 데이터베이스에 임의의 SQL문을 실행 할 수 있도록 명령어를 삽입하는 공격 유형이다. 응용프로그램의 보안상의 허점을 이용해 데이터베이스를 비정상적으로 조작하며, 이로 인해 기록이 삭제되거나 데이터가 유출될 수 있다.만약 로그인 시스템이 있
[개발자되기: 인증/보안 2] Day-46
관계형 데이터베이스 시스템(RDBMS)에서 데이터 관리/처리를 위해 설계된 선언형 프로그래밍 언어사용자가 input form에 무언가 작성하는 상황에서 발생공격자는 input form에 일반 텍스트가 아닌 SQL문을 작성 input form에 SQL문을 마무리하는 키워
정보보안 취약점과 시큐어코딩 방법
(1) SQL 삽입정의: DB와 연동된 웹 애플리케이션에서 입력된 데이터에 대한 유효성 검증을 하지 않은 경우 공격자가 입력 form 및 URL 란에 SQL문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 약점시큐어코딩 방법: 인자를 받는 prepa