갱스터의 블로그

Brief Tutorial of SQL SQL Injection에 대해 학습하기 전에 기본적인 SQL문을 어떻게 사용하지는 간단하게 알아보자. Log in to MySQL 오픈소스 관계형 데이터 베이스 관리 시스템인 MYSQL 데이터베이스를 사용할 떄 로그인 명령어이다. Create a Database MYSQL 내부에는 여러 개의 데이터베이스를 생성할 수 있으며 "SHOW DATABASES" 명령어를 통해 현재 존재하는 데이터베이스를 나열할 수 있다. 또한 CREATE DATABASE [이름]; 명령어를 통해 새로운 데이터베이스를 생성할 수 있다. 데이터베이스의 속성(열)을 생성하기 위해서는 위 사진과 같이 각 속성의 이름, 타입 등을 명시해 줄 수 있다. 이때, 어떤 데이터베이스를 사용할 것인지 US..

The Cross-Site Scripting attack XSS에서는 공격자가 target 웹 사이트를 통해 피해자의 브라우저에 악성코드를 삽입한다. 브라우저는 해당 악성 코드를 실행시키는데, 이 악성코드는 유저(victim)의 권한으로 실행된다. 따라서 웹 사이트는 해당 접근이 신뢰가 가능하다고 판단하여 페이지에 존재하는 콘텐츠에 접근, 변경이 가능하고, 쿠키를 읽으며, 사용자를 대신하여 요청을 전송할 수도 있다. 즉, 해당 악성 코드는 유저가 웹 페이지에서 수행할 수 있는 모든 작업을 수행할 수 있다. 이때, 악성코드가 사이트를 거쳐서 오기 때문에 일종의 code injection attack, 즉 Cross-Site Scripting Attack(공격 우회)라고 한다. XSS는 사용자의 권한으로 코..

CSRF Attack Cross-Site Requests and Its Problems 어떤 웹 페이지에서 다른 웹 페이지를 접속할 때, 원래 접속해있던 웹 페이지에서 새로운 웹 페이지에 대해 요청을 전송한다. 이때, 동일한 웹 페이지에 대해 요청을 날리는 경우를 Same-site request, 서로 다른 웹 페이지에 대해 요청을 날리는 경우를 Cross-site request라고 한다. 그런데 우리는 Cross-site request를 악용하여 공격을 수행할 수도 있다. 어떻게 가능한 것인지 알아보자. 우선 어떤 웹 페이지에서 다른 웹 페이지로 접속할 때를 가정했을 때, 어떤 웹 페이지를 A, 다른 웹 페이지를 B라고 하자. A에서 B로의 접속 시 브라우저는 B와 관련된 쿠키 정보를 요청을 통해 B로..