본문 바로가기
  • True knowledge exists in knowing that you know nothing. -Socrates-
카테고리 없음

web hack project (1) 취약점 분석 (sql)

by intadd 2016. 10. 3.



web hacking 취약점 분석 (sql)

웹 개발자 : 이응 알았음 (ssg)



sql injection 




1. 게시판 수정 창에 sql 문 삽입 

(id는 auto_increment로 글 순서를 나타낸다.)


title : hacked by xxx ' --    

textarea:   aa 




수정 창 title에   ' -- 를 삽입해준다. 


예상 query문 


$query = update  table 명 set title = '  ' where id = ' ' ;



hacked by xxx ' -- 를 입력했을 경우 

$query = update table 명 set title= ' hacked by xxx ' -- ' where id =' ';


cf. 

-- 는 해당 라인의 주석 처리 부문 입니다. 


이렇게 query를 날리게 된다면 뒤에 있는 where id(글 번호) =' '라는 부분이 주석 처리 됩니다. 




그러면 모든 게시글의 title 이 원하는 hacked by xxx 로 update 됩니다.










댓글