SQL Injection
SQL -> DBMS에서 사용하는 언어(Structured Query Language) * DBMS : CRUD DB : 구조적 데이터를 저장하는 컨테이너(파일 or 파일 모음) Table : 특정한 종류의 데이터를 구조적 목록으로 묶은 것 > 기본 데이터 타
dreaming828.tistory.com
여진이 누나의 블로그를 참고하자
SQL 인젝션(SQL Injection) 공격은 주로 작은따옴표(')를 이용하여 이루어지는 공격 기법 중 하나입니다. SQL 쿼리를 생성하거나 조작할 때, 공격자는 사용자로부터 입력 받은 데이터에 작은따옴표를 삽입하여 데이터베이스 쿼리에 악의적인 SQL 코드를 주입하려는 시도를 합니다.
예를 들어, 공격자가 웹 애플리케이션의 검색 기능을 통해 사용자가 입력한 검색어를 다음과 같이 처리하는 경우:
sql
Copy code
SELECT * FROM products WHERE name = '검색어';
공격자가 다음과 같은 입력을 제공할 수 있습니다:
sql
Copy code
' OR '1'='1
이 입력을 쿼리에 삽입하면 다음과 같이 됩니다:
sql
Copy code
SELECT * FROM products WHERE name = '' OR '1'='1';
이렇게 하면 '1'='1' 조건이 항상 참이 되므로 모든 제품이 결과로 반환됩니다. 이것은 SQL 인젝션 공격의 예시입니다.
SQL 인젝션을 방지하려면 입력 유효성 검사, 쿼리 매개변수화, 보안 권한 설정, 웹 방화벽 등과 같은 보안 메커니즘을 사용해야 합니다. 이를 통해 악의적인 SQL 코드가 데이터베이스로 주입되는 것을 방지할 수 있습니다.
'해킹기법' 카테고리의 다른 글
| LAND Attack, SYN Flooding, Ping Of Death 실습 (0) | 2023.07.27 |
|---|---|
| Nessus (0) | 2023.07.26 |
| 정보수집 관련 해킹 툴 정리 (0) | 2023.07.25 |
| File Inclusion (0) | 2023.07.25 |
| XSS / CSRF (0) | 2023.07.20 |