DongDD's IT

[정보보안기사 실기] 어플리케이션 보안 - 웹 취약점 SQL Injection - Web Application에서 입력 받아 database에 전송하는 SQL 쿼리를 변조해 권한 상승, DB 조회 등을 수행해 DB에 불법적인 접근을 시도하는 공격- SQL Injection 취약점 스캐너 : Nikto, SQLMap, Absinthe SQL Injection 분류(공격 방식) 1. Form SQL Injection- HTML Form 기반 인증을 실시하는 웹 어플리케이션의 취약점을 이용해 인즈을 위한 쿼리문의 조건을 조작해 인증을 우회하는 공격- where절을 항상 참이 되도록 조작 1) 공격 방식- 쿼리문에 사용되는 특수문자를 넣어 에러 발생 여부 확인-> 에러 발생 시 입력값 검증이 없는 취약한 페이지..