정보보안/SQL Injection5 SQL Injection ( 인증 우회 ) 식별/인증 동시방식 SQL Injection의 개념 SQL 인젝션은 코드 인젝션의 한 기법으로 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 하거나 필요한 정보를 획득하기 위해 하는 공격방식 인증우회 ID, password를 입력하는 페이지를 타겟으로 하는 공격으로 정상적인 계정정보 없이 인증을 통과할 수 있다. 주로 쿼리의 필터링 조건의 논리를 True로 만들어 쿼리를 무력화 하는 방법을 사용한다. 예를 들어 위와 같이 식별과 인증을 한번에 처리하는 쿼리문의 로그인 페이지가 있다고 생각해보자. 아이디와 비밀번호에 ' or '1 , ' or '1 를 넣어 쿼리문이 참이되게 하여 인증을 무력화 하고 들어갈 수도 있으며, ' or 1=1# 을 아이디에 넣어 쿼리문을 참으로 만들어 주고 뒤의 .. 2021. 10. 30. 이전 1 2 다음
