SQL Injection공격대책 부적절한 파라미터 사용 차단(시큐어 코딩) - 파라미터내의 특수문자(‘) 및 특정 단어를 다른 문자로 변환하거나 차단 single quote(‘), back slash(\) semicolon(;), at(@), asterisk(*), Ampersand(&), Question mark(?), Select, Update, Insert , Delete, Drop, Exec, xp_ , sp_ , and , or, union 등 ASP) Replace()함수를 사용하여 특수문자(‘) 등을 일반문자열로 변환 (예) prodid = request.querystring(“productid”) prodid = replace(prodid, "'", "''“) //특수문자 제거 prodid..
sql injection테스트 사이트 : http://testphp.vulnweb.com/listproducts.php?cat=1 pictures The shore Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Donec molestie. Sed aliquam sem ut arcu. painted by: r4w8173 comment on this picture Mistery Donec molestie. Sed aliquam sem ut arcu. painted by: r4w8173 comment on this picture The univer testphp.vulnweb.com [실습1] union을 이용해서 페이지에서 실행되는 sql문의 필드의 ..
UNION SQL Injection : 2개 이상의 쿼리를 요청해 결과를 얻는 SQL연산자, 공격자는 이를 악용해 원래의 요청에 한 개의 추가 쿼리를 삽입해 정보를 얻어내는 방식 - 실제 사이트의 경우 null방법을 이용해 필드의 개수 확인 select문 union select null; //오류 -> 앞쪽 select문 필드 1개 아님 select문 union select null, null; //오류 -> 필드 2개 아님 : select문 union select null, null, null, null, null, null; //실행 -> 필드 6개이다. ================================================== *Union을 이용한 SQL Injection (MySQ..
콘솔APP과의 연동 -- windowsFoarmsApp4.zip 파일을 실제PC에 다운로드 후 압축 해제(visual studio에 .net(c#) 설치 되어 있어야 함) -- (콘솔프로그램과 DBMS 연동 실습에 사용!) 압축해제 폴더의 sln파일을 열면 아래와 같은 창이 뜸(shift+F7 창 띄우기, F7 코드 띄우기) F7을 누르고 코드를 수정 SSMS로 이동해서 쿼리 작성 CREATE DATABASE test1; USE test1; CREATE TABLE member ( ID NCHAR(5) NOT NULL PRIMARY KEY, PW NCHAR(5), NAME NCHAR(4) ); SELECT * FROM member; INSERT INTO member VALUES('HAN','1234',N'..
UNION, UNION ALL, EXCEPT, INTERSECT - UNION은 두 쿼리의 결과를 행으로 합치는 것 ㄴ단, 두 문장의 결과열 개수가 같아야 하고, 데이터 형식도 각 열 단위로 같거나 호환되는 형식이어야 함 - UNION의 형식 : SELECT 문장 UNION [ALL] SELECT 문장 - UNION 만 사용하면 중복된 열은 제거가 되며, UNION ALL을 사용하면 중복된 열 포함된다. SELECT * FROM userTbl UNION ALL SELECT * FROM buyTbl; 오류내용 : UNION, INTERSECT 또는 EXCEPT 연산자를 사용하여 결합된 모든 쿼리의 대상 목록에는 동일한 개수의 식이 있어야 합니다. SELECT userid, name FROM userTbl ..
실습 쿼리문 use sqldb; CREATE TABLE stdTbl ( stdName nvarchar(10) NOT NULL PRIMARY KEY, addr nchar(4) NOT NULL ); CREATE TABLE clubTbl ( clubName nvarchar(10) NOT NULL PRIMARY KEY, roomNo nchar(4) NOT NULL ); CREATE TABLE stdclubTbl ( num int IDENTITY NOT NULL PRIMARY KEY, stdName nvarchar(10) NOT NULL FOREIGN KEY REFERENCES stdTbl(stdName), clubName nvarchar(10) NOT NULL FOREIGN KEY REFERENCES clubT..
