반응형
SMALL
| 취약점 | SQL Injection / GET, POST | 위험도 | 상 |
| 상세경로( URL ) | 192.168.2.9/bWAPP/sqli_1.php || sqli_6.php | ||
| 취약점 개요 | |||
| SQL Injection은 사용자 입력값이 데이터베이스 쿼리에 직접 삽입될 때 발생하는 취약점으로, 공격자가 악의적인 SQL 명령을 주입해 인증 우회, 데이터 조회 및 조작 등이 가능함. 입력값 검증 없이 SQL 쿼리에 포함되면 쿼리 구조가 조작되어 의도치 않은 결과를 초래하게 됨. Prepared Statement 사용, 입력값 이스케이프, 화이트리스트 검증 등을 통해 방어할 수 있음. | |||
| 수행 결과 | |||
| 7.1) GET 요청에서 따옴표와 주석을 사용한 악의적인 SQL문 동작수행 점검  < 그림 7.1.1 – GET 요청 테이블의 정상 동작 모습 >  < 그림 7.1.2 – 비정상 쿼리로 인하여 시스템의 데이터가 노출되는 모습> 비정상 쿼리: 0’ union select @@version,database(),user(),@@datadir,5,6,7 7.2) POST 요청에서 따옴표와 주석을 사용한 악의적인 SQL문 동작수행 점검  < 그림 7.2.1 – POST 요청 테이블의 정상 동작 모습 >  < 그림 7.2.2 – Burp suite 로 프록시를 잡은 후 파라미터에 악의적인 공격수행 >  < 그림 7.2.3 – 의도치않은 데이터 노출 > |
|||
LIST
'Programming > hacking' 카테고리의 다른 글
| [ 해킹 ] Frida - 루팅 우회 / UnCrackable Level 1 실습 (0) | 2025.06.05 |
|---|---|
| [ 해킹 ] Bee box - PHP 취약점과 Metaspoit을 활용한 시나리오 기반 침투 (0) | 2025.05.24 |
| [ 해킹 ] Bee box - HTML Injection - ( reflected / stored ) (1) | 2025.05.13 |
| [ 해킹 ] FridaLab 실습을 위한 세팅 및 1번 문제풀이 (1) | 2025.04.30 |
| [ 해킹 ] Bee Box - Shell Shock (0) | 2025.04.29 |
