SQL Injection 간단한 개념
- 최초 등록일
- 2014.01.06
- 최종 저작일
- 2012.04
- 13페이지/ MS 파워포인트
- 가격 1,000원
목차
1. SQL injection
2. SQL Injection 대응방안
본문내용
웹 클라이언트의 반환 메시지를 이용하여 불법 인증 및 정보를 유출하는 공격.
웹 응용 프로그램에 데이터베이스와 연동되어야 하는 부분( 예를 들어 아이디와 비밀번호를 입력하는 FORM)에 강제로 특정 SQL문을 삽입하여 내부 데이터베이스 서버의 데이터를 유출 및 변조하고 관리자 인증을 우회할 수 있다.
이 공격은 모든 관계형 데이터베이스 관리 시스템(RDBMS)에서 가능하다.
<중 략>
어떻게 로그인이 성공했을까?
아이디 = 'or 1=1-- && 패스워드 = 'or 1=1--
이것을 해석하면 아이디는 공백 또는 참이다.
아이디 = 'or 1=1-- && 패스워드 = 'or 1=1--
--는 주석 처리 한것이며 주석처리 이후부터는 컴퓨터가 인식하지 못하기 때문에 넘어가기 때문에 아이디만 맞으면 로그인이 된다.
아이디는 알지만 비밀번호를 모르는 경우에도 패스워드에 'or 1=1 삽입하여 로그인 가능하다.
참고 자료
없음