보안 이론/웹 보안
2022. 9. 14.
SQL Injection - 오류 페이지를 이용한 공격
잘못된 SQL문 사용 시 RDBMS에서 발생하는 오류 페이지에서 정보를 얻어 공격하는 방법을 실습한다. RDBMS 오류 페이지 위는 SQL문에 오류가 있을경우 보이는 오류 페이지이다. 개발자 입장에서는 오류의 원인을 파악할 수 있어 용이할 수 있으나 공격자의 경우 DB에 대한 여러 가지 정보를 얻을 수 있기 때문에 위험할 수 있다. 서비스 중인 웹 서버라면 이러한 오류 정보를 숨기고 동일한 오류 페이지를 구성해 정보의 유출을 최소화 해야한다. 실습 사이트 오류 페이지 정보 수집 공격 로그인에 SQL injection 취약점이 존재하는 실습용 페이지이다. 해당 페이지는 SQL문의 오류시 오류 페이지를 반환한다. 우리는 이를 이용하여 webmaster라는 계정의 비밀번호를 바꾸어 나만 접속가능하도록 만들 것..
