728x90 Webhacking2 WebGoat#5 Blind SQL injection 문제의 목적은 Tom의 계정으로 로그인하는 것이다. 우선 기본적인 SQL injection 공격을 수행해보자. 기존에 배운 SQL injection을 사용해보았으나 실패하였다. 아무래도 LOGIN에 존재하는 입력 필드는 이미 필터링과 같은 SQL injection을 방어하는 기법이 적용된 것으로 확인된다. 이번엔 REGISTER을 확인해보자. REGISTER에 다음과 같이 이미 존재하는 계정인 tom의 계정을 만들어 보기 위해 시도하였으나 tom의 계정은 이미 존재한다는 문장이 출력되면서 실패하였음을 알 수 있다. 그런데 이는 계정 생성의 실패, 성공의 유무를 알려주는 것과 동일하므로 이를 사용하여 Blind SQL injection공격을 수행할 수 있을 것 같다. 위 사진을 확인해보면 SQL injec.. 2022. 3. 5. Web Basic Info 웹에 대한 기초 지식을 먼저 정리해보자. Web Browser: HTTP를 통해 전달된 데이터나 리소스를 가공해 사용자에게 보여줌 -> 사용자의 입력값으로부터 취약점이 발생함 네트워크 프로그램 CLI(Commend Line Interface) 프로그램을 사용하여 웹을 사용할 수 있음 네트워크 프로그램 $ echo -ne "GET / HTTP/1.1\r\nHost: example.com\r\n\r\n"| nc example.com 80 CLI $ curl example.com Web Resource: 웹에서 사용하는 콘텐츠 -> 이를 가리키는 주소를 URL이라고 함(옛날: 실제 위치, 최근: 추상적 위치) 종류: HTML, CSS, JavaScript, ETC(이미지, 음성, 영상...) -> URI(UR.. 2021. 3. 4. 이전 1 다음 728x90
