DB Injection

요즘 해킹이 성행이다.
해킹 기법(?)중에 가장 간단하면서도 가장 많이 노출되어 있는 DB 인젝션이라는 것이 있다.
이것이 무었이냐!!!! 웹에서 게시판과 같이 DB에 연결되는 부분을 이용하여 DB의 정보를 퍼오는 방법이다. 중국에는 DB 인젝션을 위한 전문 툴을 만들어 사용하고 있다.
실제로 얼마전 특정 사이트의 DB 스키마 전체를 단 몇초만에 긁어 오는 놀라운(?) 모습을 보기도 했다.


거창하지만 원리는 간단하다. GET 또는 Post로 넘겨지는 Web 파라메타에 SQL 쿼리를 추가하여 필요한 내용을 긁어요는 것이다.
일반적으로 web programer들이 가장 많이 하는 실수중 하나는 내부 변수를 외부의 파라메타로 직접 쓰는 것이다. DB 인젝션은 이런 실수를 이용하여 DB 내용을 긁어 온다.

DB 인젝션을 유발시키는 가장 큰 원인은 파라메터를 직접 스트링연산으로 SQL 쿼리에 추가시키는 실수이다.
Get, Post로 넘겨지는 파라메타는 스트링이 기본이다. 그리고 SQL 쿼리도 스트링 형태로 만든다. 따라서 숫자만 들어가는 파라메터라 하더라도 굳이 숫자로 변환했다가 다시 string 으로 변환해야 할 필요성을 잘 못느낀다. 검색과 같이 스트링을 직접 받는 것을 말할나위 없다.
이럴때 어떻게 인젝션을 거는 것일까?? 간단하다. 파라메터 가장 되에 서브 쿼리를 추가하는 것이다.

이런 문제가 있는 곳은 간단히 찾을 수 있다.
일반적으로 파라메터에 ' 를 추가함으로서 DB 에러가 보인다면 인젝션이 가능하다!!!

자세한 내용은 추후에 추가해 보도록 하겠다.

by Soju | 2005/07/12 09:19 | WIndows | 트랙백 | 덧글(1)

이직....

테크에서 AC2를 말아먹고 드디어 이직을 했다...
다행히 테크에서 애물단지 장비들은 대부분 판매를 해서 홀가분하지만... 그래도 아직 회사가 힘든게 마음에 걸린다.

잠깐의 휴식후 이제 다른 게임회사에 출근을 한다...
출근하는날 장비 50대가 들어왔다. ㅡ.ㅡ
이제 3주가 되가는데.... 무얼을 하는지... 정리가 안된다...
일단 해놓고 보는 수 밖에 없겠다...

뭔가 하고 싶은 일은 많지만....... 할 수 잇는 일과 할 수 없는일....

앗.. 이번에 들어온 회사는 Indy21... 구룡쟁패라는 게임을 개발하여 서비스 할 것이다...

잘해봐야징.. :)

by Soju | 2005/04/23 10:45 | 끄적끄적 | 트랙백 | 덧글(0)

디카 유틸 PhotoWorks

사진 화일들을 일괄적으로 리사이징 해 줄뿐만 아니라 다양한 액자모양을 적용 시킬 수 있는 프로그램

디카로 찍은 사진들을 웹에 올리기 좋게 리사이징 할때 매우 유용함.

http://andojung.com/photoWORKS/

by Soju | 2004/07/23 14:45 | 취미와 기타 | 트랙백 | 덧글(1)

싱가폴 여행 사진

싱가폴에서 잠시 빙탄으로 갔었을때 사진입니다.

너무 이뻐서 한번 찍어봤더니.... 멋지군요.

흠.. 이 사진을 찍고 나니 야경 사진에 맛이 드는것 같군요.

이구... 돈만 있으면. 흐흐흐

by Soju | 2004/07/20 12:34 | 취미와 기타 | 트랙백 | 덧글(2)

귀여운짓~~~

.

by Soju | 2003/11/06 17:00 | 가족이야기 | 트랙백 | 덧글(0)

배시시.....

진무야~~~

by Soju | 2003/11/06 16:56 | 가족이야기 | 트랙백 | 덧글(0)

이쁜옷 입은 유림이.

이쁘게 옷입고 나들이 가는 유림이

by Soju | 2003/11/06 16:55 | 가족이야기 | 트랙백 | 덧글(0)

우유먹는 유림이...

혼자서도 잘 먹지요.. :)

by Soju | 2003/07/24 09:27 | 가족이야기 | 트랙백(1) | 덧글(3)

◀ 이전 페이지          다음 페이지 ▶