겉바속촉

SQL Injection 웹 서버와 db 서버가 연동되는 웹 서비스 중 사용자의 입력을 받는 화면이 존재 입력받는 문자열에 별도의 처리 없이 db 조회를 위한 sql구문이 사용될 경우 정상적인 sql 구문 인자 값의 변조를 통해 데이터 베이스 접근 및 임의의 sql 쿼리 문을 실행 할 수 있음 1. 위험성 가. 사용자 인증을 우회, 정상적인 사용자의 인증권한 획득 가능. 보통 개발할 때 관리자 즉 admin을 많이 넣어주기 때문에. 나. 데이터베이스 획득 의도적으로 DB 에러메시지 유발, DB 구조파악 가능 다. 관리자 권한 명령 실행 SQL Query가 내장 프로시저를 이용항 시스템 명령 실행이 가능하다면 --> XPcmd 관리자 권한 명령을 실행할 수 있는 권한 획득 가능 --> 실질적인 시스템 장악..