SQL Injection2 SQL Injection 식별/인증 Hash처리(인증 우회) 해킹에 대한 인식이 이전보다 많이 높아진 지금은 아마 웬만한 사이트들 비밀번호는 저장할 때 해시 처리해서 보관하고 있을 것이다. 또한, 비밀번호를 암호화해서 보관하지 않으면 법적으로도 문제 된다고 알고 있다. 이전에 인증 우회 공부할 때 식별 인증 동시, 분리 방식 두 가지를 했는데 오늘은 그 두 방식에 비밀번호를 해쉬 처리하는 로그인 방식에 대해서 인증 우회를 테스트를 해볼 것이다. 일단 가장 많이 쓰인다는 2가지 해시들을 간단하게 알아보았다. MD5 MD5 (Message-Digest algorithm 5) MD5는 메시지 축약 알고리즘으로써, 파일 무결성 검사 용도로 많이 쓰이고 있습니다. 128bit의 해쉬를 제공하며, 암호 와와 복호화를 통하여 보안용 도로도 많이 쓰입니다. 하지만 암호화 결함이.. 2021. 11. 1. SQL Injection ( 인증 우회 ) 식별/인증 동시방식 SQL Injection의 개념 SQL 인젝션은 코드 인젝션의 한 기법으로 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 하거나 필요한 정보를 획득하기 위해 하는 공격방식 인증우회 ID, password를 입력하는 페이지를 타겟으로 하는 공격으로 정상적인 계정정보 없이 인증을 통과할 수 있다. 주로 쿼리의 필터링 조건의 논리를 True로 만들어 쿼리를 무력화 하는 방법을 사용한다. 예를 들어 위와 같이 식별과 인증을 한번에 처리하는 쿼리문의 로그인 페이지가 있다고 생각해보자. 아이디와 비밀번호에 ' or '1 , ' or '1 를 넣어 쿼리문이 참이되게 하여 인증을 무력화 하고 들어갈 수도 있으며, ' or 1=1# 을 아이디에 넣어 쿼리문을 참으로 만들어 주고 뒤의 .. 2021. 10. 30. 이전 1 다음
