인프런 커뮤니티 질문&답변

작성한 질문수

웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩

[실습2-8] 실습을 통해 배우는, BLIND-BASED 데이터 추론 기법에 대한 이해

순차 탐색 질문입니다

작성

192

안녕하세요 순차 탐색에서 막혀서 질문드립니다.

첫 번째 쿼리로

select id from members where id='test' and substring(system_user(),1,1)='r';

을 실행했을 때, Empty set 이 나왔습니다.

두 번째 쿼리로

select substring(system_user(),1,5);

를 실행시켜보니 root@ 가 출력됨을 확인했습니다.

r로 시작하므로 첫 번째 쿼리에서 empty set이 나올 이유가 없는것 같은데 왜 empty set이 나오는지 원인을 잘 모르겠습니다..

퀴즈

66%나 틀려요. 한번 도전해보세요!

SQL Injection이란 무엇인가요?

SQL 언어 자체를 변조하여 데이터베이스 기능을 마비시키는 행위

사용자 입력란에 악의적인 SQL 구문을 삽입하여 비정상적인 데이터베이스 쿼리를 실행시키는 취약점

데이터베이스 관리 시스템(DBMS)에 직접 침투하여 데이터를 탈취하는 해킹 기법

웹 애플리케이션 개발 도구를 사용하여 SQL 쿼리를 최적화하는 기술

답변 2

지식공유자

안녕하세요.

test 란 계정이 있다면 쿼리상의 문제는 없습니다.

select id from members where substring(system_user(),1,1)='r';

위의 쿼리 실행시 어떻게 출력이 되나요?

질문자

방금 확인했는데, test라는 계정이 없어서 앞에서 막혔던 것 같네요 감사합니다!

작성한 질문수