SQLInjectionAttack
-
SQL Injection (aka SQLi) AttackSecurity in CPS/CyberAttack 2021. 1. 17. 12:17
[소개] SQL (Structured Query Language) Injection 공격은 타켓이 사용하고 있는 데이터베이스에서 수행되는 쿼리문을 처리하는 과정에서의 취약점을 이용해 수행하는 공격입니다. 공격자는 타켓 서버로 의심되는 SQL 코드를 주입하여 접근 권한이 없는 정보를 취득하려고 시도합니다. 이 정보들 중에서 민감한 정보들 예를 들면, 사용자 계정정보, 패스워드 해시, 또는 임직원의 고용정보를 획득할 수 있습니다. [공격방법] 직접 입력: OR 연산자를 이용해 쿼리문을 항상 참으로 만들고 '--' 또는 ";" 연산자로 이후에 수행된 쿼리문을 비활성화 시킵니다. {"email": "' or 1=1--", "password":"a"} {"username": "admin or 1=1--", "pa..