728x90
SQL Injection - 웹 애플리케이션 사용자 입력값에 필터링이 제대로 적용돼 있지 않을 때 발생한다. 공격자가 조작된 SQL 질의문을 삽입해 웹서버 DB정보를 열람하고 정보를 유출, 조작한다. 웹사이트의 취약점을 찾아, DB를 관리하는 SQL 명령어에 악성코드를 삽입해 해커가 원하는 식으로 조작하는 웹 해킹 공격 중 하나이다.
에러 기반 공격(Error-Based Attacks)와 블라인드 공격(Blind Attakcs)으로 나뉜다.
에러 기반 공격은 해커가 검사하지 않은 입력값을 발견하고, 이를 악용할 때 발생하는 공격이다. 검사 입력값은 입력한 데이터 중에서 불필요한 부분을 제거하는데, 해커는 잘못된 정보를 입력하고 피드백을 기다리기만 하면 그 정보를 가로채는 식이다.
블라인드 공격은 에러 기반 공격과 달리 DB 서버 에러 메시지를 이용하지 않고 바로 DB를 공격한다. 이 공격은 DB 취약점을 노리고 공격하는 기법보다 성공하기 어렵긴 하지만, 꾸준히 발생하는 공격 중 하나다.
보고서 링크 : https://kisa-irteam.notion.site/09d3e4c83a784380acc3b36271a1f58a
샤오치잉(晓骑营) 공격 그룹 침해사고 및 대응방안 보고서
1. 개요
kisa-irteam.notion.site
728x90
'보안 > 보안공부' 카테고리의 다른 글
| 웹 해킹 강좌 ① - 네이버 서버 시간 웹 파싱 (Web Hacking Tutorial #01) (0) | 2023.06.18 |
|---|---|
| 해킹의 종류 (0) | 2023.06.17 |
| 방화벽과 웹 방화벽의 차이 (0) | 2023.06.17 |
| Python_시큐어코딩_가이드 (0) | 2023.06.17 |
| Masscan랜섬웨어 침해사고 기술보고서 (0) | 2023.06.17 |
