겉바속촉

이번에는 배워도 배워도 어려운 SQL Injection을 실습하려고 합니다. python 코드를 이용해서 해보도록 할게요!! @Attacker 가상머신 1. 우선 gedit이 없기 때문에 설치해주도록 하겠습니다. ┌──(kali㉿kali)-[~] └─$ sudo apt-get update ┌──(kali㉿kali)-[~] └─$ sudo apt-get install gedit 2. 파이썬파일을 사용할 것이기 때문에 또 설치해줄게요. ┌──(kali㉿kali)-[~] └─$ sudo apt-get install python3-pymysql 3. search.py 파일을 작성해보도록 할게요. ┌──(kali㉿kali)-[~] └─$ sudo gedit search.py search.py를 다음과 같이 작성했..

OWASP 인젝션(injection) = 삽입 입력 → 처리 → 출력 입력값을 조작해서 처리로 전달 --> 그럼 처리가 잘못 수행되겠죠. 즉, 입력값에 대한 검증을 수행하지 않고 사용하여 처리가 원래 의도와는 다르게 동작하게 됩니다. 이게 바로 인젝션!!!! 확인해볼까요?~~ @Attacker 지난번에 proxy 설정해두었기 때문에 끄고 시작하겠습니다. @Attacker에서 @WindowsXP의 OpenEG로 접속 (http://WINDOWS_XP_IP:8080/openeg) @Attacker에서 @WindowsXP의 OpenEG로 접속 후에 로그인을 해보곘습니다. 사용자 입력이 다음과 같이 되게 해준다면 id: a pw: b 서버로 전달은 다음과 같이 되겠네요 http://windowsxp_ip:808..