인프런 커뮤니티 질문&답변

작성자 없음

작성자 정보가 삭제된 글입니다.

모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1

모의해킹 시

작성

·

137

1

저 궁금한게 있는데 

지금 ERROR-BASED까지 수강을 들은 모의해킹 입문자입니다.

ERROR-BASED를 보고나서 궁금한게 php?IDX=4 extractvalue~~ 이렇게 데이터 조회 공격을 하는데

만약 컬럼값이 없는 로그인창 즉 .com .php .kr로 끝나는 도메인일때는 공격을 할 수가 없는건가용?

그게 아니라면 어떻게 공격을 실행해야 하나용?

인젝션모의해킹

답변 1

0

크리핵티브님의 프로필 이미지
크리핵티브
지식공유자

답변이 늦어 죄송합니다.

요청 시 해당 자원에 대한 부분이 명시가 되어 있습니다.

만약 ~.com/  이렇게 끝낫다면 이것은 index 페이지에 대한 요청입니다.

그런데 대부분 어떠한 자원을 요청할 떄 자원명?파라미터명=값 이러한 패턴을 가집니다.

웹 브라우저에서만 ~.com/ 이렇게 보여도 실제로 내부적으로는 통신이 이뤄지는 경우들도 많습니다.

때문에 웹 브라우저만 보시지 마시고 진단 시 웹 프록시로 꼼꼼하게 통신 구간을 확인하는 작업이 필요 합니다.

질문하신 내용으로 볼때 기초에 대한 공부가 부족한 것으로 보입니다.

웹 어플리케이션에 대한 이해를 하셔야 됩니다!

게시판 , 회원관리 , 로그인 이런 기능들을 구축해보시면 많은 도움이 됩니다.

작성자 없음

작성자 정보가 삭제된 글입니다.

전체 Q&A
질문하기