반응형 WEB HACKING/웹 해킹[이론]15 SQL Injection : 로그인 Case 별 인증 우회 이전 글 : [모의해킹_이론] - SQL Injection 앞선 포스팅에서는 SQL Injection의 개념에 대해 간략하게 알아보았다. 이번 포스팅에서는 로그인 과정에 따른 SQL Injection 인증 우회에 대해 살펴보자. ① 식별 VS 인증 로그인 처리 방식은 약 5가지 경우의 수로 나눌 수 있는데, 이를 이해하기 위해서는 식별과 인증의 개념을 짚고 넘어갈 필요가 있다. > 식별 : 많은 데이터 중 특정 데이터를 구분하는 작업으로, 시스템이 식별할 수 있도록 ID와 같은 고유값이 필요하다. > 인증 : 사용자의 신분을 확인하는 절차 로그인을 할 때 시스템은 고유 값(ID)으로 사용자를 식별한 후 PW의 일치 여부를 바탕으로 인증 과정을 거치는데, 이 식별과 인증 과정을 어떻게 진행하는지에 따라 크.. 2021. 10. 22. SQL Injection SQL Injection은 웹 해킹의 꽃이라고도 불리는, 많이 알려진 해킹 공격 중 하나이다. SQL Injection의 개념에 대해 살펴보고, SQL Injection을 어떻게 사용할 수 있는지 예시를 살펴보자. ① SQL 이란? SQL은 Structured Query Language의 줄임말로, 관계형 데이터베이스 시스템에서 자료를 관리하기 위해 사용되는 언어를 의미한다. 쉽게 말하자면 DB 서버와 통신하기 위해 사용되는 언어이다. SQL 문법은 크게 DDL, DML, DCL 세 가지로 나눌 수 있는데, DDL은 데이터를 정의하는 Create 같은 문법들, DML은 데이터를 선택하고 추가하는 Select나 Insert 같은 문법들, DCL은 권한을 주거나 삭제하는 Grant나 Revoke 같은 문법들.. 2021. 10. 21. 웹 서버 구조와 동작 ① HTTP 프로토콜 HTTP는 클라이언트와 서버 사이에 이루어지는 요청 / 응답 프로토콜이다. (*프로토콜 : 컴퓨터 간의 데이터 교환 방식을 정의하는 규칙 체계) 웹 브라우저(클라이언트)가 HTTP를 통해 서버에게 웹 페이지(HTML)를 요청하면, 서버가 응답하여 정보를 전달하는 것으로, HTML 문서를 주고받는데 쓰이는 규칙 체계라고 볼 수 있다. ② WEB 서버 구조 클라이언트가 파일을 요청하면 → 웹 서버가 파일을 찾아준다. 네이버를 이용하는 사용자는 자신의 로그인 정보에 따라 서로 다른 메일, 카페, 블로그를 볼 수 있다. 그런데, 네이버 사용자는 수천만 명에 이르는데, 사용자에 따라 다른 수천만 개의 페이지를 만들어야 할까? 여기서 정적 페이지와 동적 페이지의 개념이 등장한다. 웹 서버는 크.. 2021. 10. 18. 이전 1 2 3 다음
