sql 인젝션 간단한 실습 실습사이트 : testphp.vulnweb.com Home of Acunetix Art welcome to our page Test site for Acunetix WVS. Warning: This is not a real shop. This is an example PHP application, which is intentionally vulnerable to web attacks. It is intended to help you test Acunetix. It also helps you understand how developer err testphp.vulnweb.com 테스트할수 있는 계정의 정보는 test/test이다. password에 ' or 1=1--' 을 입력하..

sql 인젝션은 사용자의 입력값으로 웹 사이트 sql 쿼리가 완성되는 점을 이용하여 비정상적인 sql쿼리를 만들어 실행하는 취약점임. 아래그림은 sql 인젝션의 동작과정을 설명한다. sql 인젝션은 사용자 입력창에서 발생할 수있는데 그림의 웹페이지 로그인 로직에서 정상적인 사용자쿼리라면 id와 passwd가 일치하면 로그인이되지만 ex) select * from user where id = '유저아이디' AND passwd = '패스워드' 공격자는 id값에 admin passwd값에 ' or 1=1 삽입하여 ex) select * from user where id = 'admin' AND passwd = ' ' or 1=1 ' 조건절을 항상 참으로만드는식으로 sql문을 조작하여 로그인 우회를 시도함.