인프런 커뮤니티 질문&답변

주형준님의 프로필 이미지
주형준

작성한 질문수

모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1

[실습6-3] ORACLE ERROR-BASED 공격 실습

Json으로 데이터를 주고 받을 때 인젝션

해결된 질문

작성

·

165

1

안녕하세요. 항상 양질의 강의를 제공해주셔서 정말 감사합니다! 대상 웹서버가 Json 형태로 데이터를 주고 받고 있는데요. 키 값에 SQLInjection 공격이 가능한가요? 저는 한번도 성공한 적이 없어서요. 된다면 URL 인코딩을 하지 않는 게 맞겠죠? 그리고 json형태로 데이터가 전달될 때 이게 api 사용인지 웹페이지 호출인지 어떻게 구분하는 게 좋을까요? 웹페이지도 확장자를 안 보이게 할 수 있으니까요 어떻게 구분하는 게 좋을지 궁금합니다 ^^ 감사합니다!
모의해킹인젝션

답변 1

0

크리핵티브님의 프로필 이미지
크리핵티브
지식공유자

키 값도 당연히 인젝션이 됩니다.ㅎ

일반적으로, {"idx": 100} 이러한 값이 전달 되고 있다면 {"idx": "101-1"} 이렇게 산술 연산자를 이용해 취약점 점검이 가능합니다.

다만, 서버 측에서 값을 어떻게 처리 하는 지에 따라 공격 가능 여부가 결정됩니다.

그리고 json 형식 전송 시 url 인코딩은 필요하지 않습니다.

보통 api 형태 사용을 위해서는 url에 api 구분을 하던지, 응답 값 내용이 json 혹은 xml 형식으로 되어 있습니다.

주형준님의 프로필 이미지
주형준
질문자

답변 감사합니다 ^^

주형준님의 프로필 이미지
주형준

작성한 질문수

전체 Q&A
질문하기