Blind sql 인젝션/실습
2021. 4. 7. 20:59ㆍ웹 취약점
blind sql 인젝션?
쿼리문의 참/거짓에 따른 결과값의 차이를 보고 정보를 추출하는 방법
실습사이트 - testphp.vulnweb.com
artists
Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Donec molestie. Sed aliquam sem ut arcu. Phasellus sollicitudin. Vestibulum condimentum facilisis nulla. In hac habitasse platea dictumst. Nulla nonummy. Cras quis libero. Cras venenatis. Aliquam po
testphp.vulnweb.com
실습사이트에 접속하여 browse artists 클릭
url을 확인해보면 artist=1 로 지정되어있다.
url끝에 and 1=1 구문을 삽입하면 그대로 조건절이 참이므로
동일한 화면이 출력됨.
url 끝에 and 1=2을 삽입하여 조건절을 거짓으로 만들면
화면에 아무것도 출력되지않는다.
쿼리문의 참거짓에 따라 결과의 차이가 나타나는 것을 활용해 공격자는 데이터베이스의 정보를 추출할 수있다.
'웹 취약점' 카테고리의 다른 글
| UNION SQL 인젝션 활용 (0) | 2021.04.11 |
|---|---|
| UNION SQL 인젝션 (0) | 2021.04.07 |
| Time 기반 sql 인젝션/실습 (0) | 2021.04.07 |
| sql 인젝션 실습 (0) | 2021.04.06 |
| sql 인젝션 (0) | 2021.04.06 |