해킹5 SQL Injection SQL Injection > 웹 어플리케이션에서 데이터베이스로 전달되는 SQL쿼리 값을 변조 및 삽입히여 비정상적인 방법으로 데이터베이스에 접근하는 공격을 의미 > 이러한 공격을 통해 발생될 수 있는 취약점은 인증우회(계정 및 암호없이 로그인), 시스템 명령어 삽입(저장 프로시저를 악용한 OS 명령어 삽입 등), 웹쉘 생성등이 있다. 웹 클라이언트 → 웹 서버 → DB 서버 SQL Injection 유형 > SQL Injection에는 공격기법에 따라 다양한 유형이 존재 > 에러가 발생되는 사이트에서는 논리적 에러 및 UNION SQL Injection을 사용하지만, > 에러가 발생되지 않는 사이트에서는 Blind SQL Injection 기법등을 사용. 논리적 에러를 이용하는 SQL Injection .. 2018. 1. 30. Level 11~20 문서 합본 2017. 12. 17. Level 10 → Level 11 www.hackerschool.org 를 이용하여 공부한다. 목적 : 공유 메모리에 데이터를 쓰고 읽기 프로세스와 프로세스의 통신(메시지를 주고 받는 방법) > 소켓을 사용하는 경우(Ex: Client/Server 프로그램)> 공유메모리를 사용하는 방법(Ex: DB 프로그램(Oracle))> 파일을 사용하는 경우> DB 사용하는 경우> 기타 보안적인 요소에서 공유메모리를 쓰고 있는 대표적인 경우> 암호화/복호화 방식(핵심 : key) 공유메모리를 사용하는 방법> 메모리의 일부분을 띄워서 공유메모리로 해주고 P1과 P2를 조인시켜준다.> DB프로그램들이 이런 작업을 많이 사용하고 있다. 고속으로 통신하는데> 하나의 프로세서가 공유메모리에 올리면 다른 프로세서가 이것을 참조해서 한다. 파일을 사용하는 경우와.. 2017. 11. 30. Level 9 → Level 10 www.hackerschool.org 를 이용하여 공부한다. 목적 : 버퍼오버플로우(Bof, Buffer Overflow)> 버퍼오버플로우 기법을 이해하기 위해 메모리의 값을 조작하는 방법 버퍼오버플로우의 종류> Stack Buffer Overflow> Heap Buffer Overflow 버퍼를 넘치게 하는 것. 스택과 힙 두개 다 사용이 된다. [참고][클릭]변수의 메모리 배치 확인과 GDB 사용법 level9 사용자로 로그인ID : level9PASS : apple $ cd$ ls -l$ cat hint $ cd tmp$ vi bof.c12345678910111213141516171819202122#include #include #include main(){ char buf2[10]; char bu.. 2017. 11. 30. 이전 1 2 다음
