SQL Injection

인젝션 (Injection)

: 주입이라는 의미

: 이용자가 악의적인 입력값을 주입해 의도하지 않은 행위를 일으키는 것

 

인젝션 공격

: 이용자의 입력값이 애플리케이션의 처리 과정에서 구조나 문법적인 데이터로 해석되어 발생하는 취약점

 

Blind SQL Injection

: 스무고개 게임과 유사한 방식으로 데이터를 알아낼 수 있음

: 질의 결과를 이용자가 화면에서 직접 확인하지 못할 때 참/거짓 반환 결과로 데이터를 획득하는 공격 기법

: 한 바이트씩 비교하여 공격하는 방식이기 때문에 다른 공격에 비해 많은 시간을 들여야 함

 

-----------------------------------------------------------------------------------------------------------------------------------------------------------------

SQL Ingection은 어떤식으로 작동하는지 이해되지만, Blind는 하나하나 찾아야한다는 점, 이를 보완하기 위해 자동화 스크립트를 작성해야한다는 부분이 아직 와닿지않는다.

 

 

자세한 내용은 드림핵 웹해킹 로드맵 스테이지6!!

https://dreamhack.io/lecture/courses/191

ServerSide: SQL Injection