Tag Archives: sql

SQL Injection Attack Query (SQL 인젝션 공격쿼리)

HYEONG HWAN, MUN/ 10월 18, 2014/ 미분류/ 20 comments

적을 알아야 대처할 수 있습니다. 이 기술을 배워서, 취약하지 않은 소프트웨어를 제작하는 능력을 기르도록 합시다. 테스트는 ASP 환경에서 실시되었지만, SQL 인젝션은 데이터베이스를 사용하는 모든 언어에서 일어날 수 있습니다. (C, C++, PHP, ASP, JSP 등등) 공격자는 SQL 인젝션 취약점을 사용하여 데이터베이스 내의 모든 정보를 추출할 수 있습니다.   테스트 환경 OS :  Windows 2000 pro DB : MS SQL personal 스크립트 언어 : ASP login_page.html 과 process_login.asp 파일을 IIS 서버에 올리고 테스트한다. 로그인 페이지는 다음과 같다. MS-SQL에 미리 테이블을 생성하고 값을 입력해두자. 테이블생성 값 입력   공격자의 관점 이와 같은 DB 시스템에서, 공격자가 자기 자신의 계정을 만들고 싶어했을 때 users 라는 테이블의 존재나 구조를 모르면 공격이 불가능할 것이다. 우연히 맞춘다 해도, privs 라는 필드는 어떤 필드인지 확실하지 않다. 공격자에게는 다행이게도, ASP 기준…