injection 썸네일형 리스트형 SQL Injection 1. SQL Injection(normally)SQL Injection은 홈페이지 DB에 특수문자('[싱글쿼터])나 Union, Select 등의 문자를 필터링하지 않아, 조작된 SQL Query가 서버로 전송되어 DB의 정보를 획득, 수정, 삭제 등의 명령 실행이 가능한 공격 기법이다. 또한, xp_cmdshell과 같은 System Stored Procedures를 통해 시스템의 권한 획득이 가능하다.예>GET/bbs/list.php?board_seq=2&sSearchString=&sSearchMethod=title_n' and 'x'='y HTTP/1.1Host: test-domain.com Accept: */* 2. TRUE OR FALSE Blind SQL Injection공격자의 입력값에 따라.. 더보기 이전 1 다음