Information Security

SQL 인젝션의 정의 SQL 인젝션은 데이터베이스와 연동된 웹 애플리케이션에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우 공격자가 입력폼(게시글) 및 URL 입력란에 SQL문을 삽입하여 DataBase의 정보를 열람하거나 조작할 수 있는 취약점이다. OWASP 상위 10가지 웹 애플리케이션 보안 위협 목록 중에서도 최상위로 선정되어 있을 만큼 위협적인 취약점이다. SQL 인젝션의 공격 유형 3가지 1. 인증 우회(AB : Auth Bypass) - 대부분 아이디와 패스워드를 입력하는 로그인 페이지를 타겟으로 행해지는 공격이다. SQL 쿼리문의 TRUE/FALSE 의 논리적 연산 오류를 이용하여 로그인 인증 쿼리문이 무조건 TRUE 값이 나오게 하여 무력화 하는 원리이다. 2. 데이터 노출(DD ..

*Burpsuite 를 사용하기 위해서는 기본적으로 JRE 파일을 다운로드 해야한다. Burpsuite 를 사용하기 위한 테스트 환경은 DVWA를 사용할 것이다. 윈도우/리눅스의 환경 중 리눅스를 통한 환경을 다뤄볼 것이다. 리눅스를 통한 환경 구축 Metasploitable은 리눅스 기반의 취약점 진단용 가상머신이다. VM을 설치한 후 Metaploitable 을 다운로드 하여 압축을 풀어준다. *아래 링크 참조 https://sourceforge.net/projects/metasploitable/ VMware 실행 후 File->Open을 통해 압축해제 했던 Metasploitable을 불러온다. Metasploitable 이미지를 불러오면 [그림 4]와 같이 로그인 실행화면이 나타난다. 아이디 : ..