본문의 내용을 가지고
어떠한 프로그램에 공격을 시행하여 발생하는 일은
전적으로 공격을 시행한 본인에게 있습니다.
반드시 실습은 본인이 구축하여 시행하시길 바랍니다.
========================================================
실습 환경 : VMware
실습 com1 : kali linux
실습용 취약한 server : bee-box
※ kali와 bee-box는 검색하여 쉽게 설치가 가능합니다.
========================================================
2021 OWASP TOP 10 중 줄곧 1위를 차지하던 Injection 공격이 3위로 하락했습니다. 2013년부터 여전히 위험한 취약점 중 하나입니다. Injection의 다양한 방법 중 SQL Injection에 대해서 bee-box를 이용해서 실습해보겠습니다.
우선 SQL Injection의 공격 방법입니다.
1. SQL 구문을 이용하여 취약점이 있는지 확인한다.
2. 취약점이 확인되면 웹 페이지의 반응을 보면서 SQL 구문을 삽입한다.
방법에 대해서 상세한 설명을 해보겠습니다.
이러한 종류들이 있는데 결국은 취약점이 있는지 확인을 하고 웹 페이지의 사용자 입력란 부분에 SQL 구문을 넣는 방법이 SQL Injection 공격 종류입니다.
이러한 방법들은 논리적인 관점에서 보면 SQL 공격이 가능한가를 우선 판단을 해야합니다. 판단을 하는 방법은 크게 3가지 입니다.
1. '(따옴표) 넣어서 에러구문이 나오는지 살펴보기
2. 참과 거짓일 때 반응이 다른지 살펴보기
3. 2초 쉬는 구문을 넣었을 때 2초 뒤에 반응이 오는지 살펴보기
sql 구문이 삽입이 된다는 것을 알면 본인이 원하는 정보를 가져오거나 지우거나 등등 하기 위해서 SQL구문을 작성하면됩니다.
SQL Injection의 공격의 목적은 결국은 DB의 사용자 정보나 어떤 중요 정보를 탈취하는 것이 공격의 목적이라고 생각합니다. 다음 포스팅에서 bee-box를 이용해서 공격을 실행해보겠습니다.
댓글