SQL 인젝션
SQL은 무엇인가?
- 대부분의 웹 사이트는 데이터를 저장하는 데이터베이스를 사용합니다.
- 그 안에 저장된 대부분의 데이터 (사용자 이름, 암호 .. 등.)
- 웹 응용 프로그램은 읽고 데이터베이스의 업데이트 및 데이터를 삽입합니다.
- DB와 상호 작용 SQL을 사용하여 수행.
왜 그들이 그렇게 위험
1. 그들은 어디에나있다.
2. 데이터베이스에 적어 보라 접속 -> 민감한 데이터.
3. 로컬 파일을 외부 WWW 루트를 읽을 수 있습니다.
4. 관리자로 로그인하는 데 사용 및 추가 시스템을 악용 할 수 있습니다.
5. 파일을 업로드하는 데 사용할 수 있습니다.
POST에서 발견 SQLI
- 페이지를 중단하려고합니다.
- '에 의해 순서'또는 '' '사용'및 '.
- 양식에 텍스트 상자와 URL 매개 변수를 테스트.
http://target.com/page.php?something=something
Metasplitable2에 대한 사전 구성 :
다음은 매우 유용한 오류 메시지입니다.
그럼 암호 상자에 입력을 수정할 수 있습니다. 우리는 지금 잘못된 암호를 사용하여 로그인 할 수 있습니다.
인증을 우회.
