whydontyoushovel 님의 블로그

SQL Injection서버에서 준비한 쿼리문에 악의적인 의도를 가진 SQL구문을 주입하는 해킹 기법.   1. Union SQL Injection  SQL 질의 결과가 사이트 화면에 출력될 때  2. Error-Based SQL Injection  사이트에 질의문의 결과는 안 나와도 SQL 에러문이 출력될 때 3. Blind SQL Injection  질의문 결과나 에러문이 화면에 출력되지 않지만 쿼리의 참/거짓 결과를 구분할 수 있을 때       ▶ 검색, 인증 뿐만 아니라 쿠키, 동적으로 할당되는 컬럼명, order by 절 등 쿼리가 사용되는 곳에서 SQL Injection이 일어날 수 있기 때문에 버프 스위트 등의 프록시 툴을 이용하여 요청에 어떤 파라미터를 가져가는지 확인해야함. ▶가져가는 ..

/4/ 인덱스 페이지 요청     ->    응답 코드 200, js코드로 login.php 리디렉션                                 ->   로그인 페이지 요청   ->   응답 코드 200, 로그인 페이지 보여줌 ->   로그인 정보 입력, 제출   ->   제출하면 /4/js/login.js 에서 입력값 받아서 onLogin 함수 실행 ->   onLogin함수에서 입력값으로 url을 만들고 loginProc.php로 GET요청    ->  loginProc.php에서 받은 인자들로 로그인 검증, 인정되면 login.js로 ok 신호 보냄 ->   loginProc.php로 부터 받은 응답이 ok면 login.js가 사용자를 index.php로 리디렉션 (에러메시지는 숨김)..