산술연산 취약점 분석 문의

모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1

취약점 분석 방법론(3)

2020-06-19T23:21:40.121Z

243

IT는언제까지

작성한 질문수 5

산술 연산 부분에 idx=100%2b93 입력 시 조회되서 취약할 경우

어플리케이션에서 string으로 받기 때문에 산술 연산이 불가능해야되는데 dbms 쪽에서 전체적으로 조회되서 생긴다고 이해했는데요(이게 맞는건가요?)

그럼 어플리케이션이 아닌 dbms쪽에서 대응방안을 찾아야되는건가요?

모의해킹 인젝션

답변 1

크리핵티브

2020-06-21T14:18:27.676Z

안녕하세요!

어플리케이션 측에선 입력 값을 그대로 받아서 미완성된 쿼리에 조합되어 DB에 질의를 하고 결국

DB 측에서 연산이 되어 조회가 되는 원리 맞습니다.ㅎ

대응방안은 DBMS 측에서는 할 수 없고 어플리케이션 단에서 즉 프로그래밍 단에서 해야 됩니다.

자세한건 대응방안 파트에 보시면 자세한 설명이 나와있으니 참고하시면 될 것 같습니다!

질문 감사합니다!

컬럼명 기반으로 테이블 개수를 출력

2023-02-23T06:40:59.842Z

502

외부 자료 학습중 질문사항-메타데이터 추출 불가한 상황

2023-02-20T08:48:22.204Z

479

텍스트 인코딩 한국어

2023-02-16T13:55:49.619Z

612

강의랑 관련없는 내용이지만

2023-02-15T14:15:05.007Z

528

왜 취약점이 존재한다고 판단할 수 있는지 궁금합니다.

2023-01-28T06:45:07.482Z

555

스프링을 배우는 게 나중에 웹 취약점 진단에 도움이 될까요?

2023-01-24T14:04:41.177Z

619

Fatal error

2023-01-08T13:29:41.325Z

699

코드에 있는 이상한 노란박스

2023-01-08T13:25:16.057Z

1797

Parse error 마지막 부분 에러

2023-01-08T13:22:20.281Z

451

microsoft machine leraning server 구성 요소 오프라인 설치

2023-01-08T12:57:11.631Z

698

실무에서의 버프스위트 사용이 궁금합니다!

2023-01-07T10:58:49.962Z

371

sql injection이 왜 위협적인 공격인지 궁금합니다.

2022-12-28T13:40:45.845Z

458

union 공격 시 최적화 방법 (게시글 상세보기)

2022-12-26T13:16:02.327Z

260

질문이 있습니다

2022-11-23T05:38:28.434Z

202

한글은 비트추론할때 어떻게 해야하나요?

2022-11-21T08:52:48.420Z

233

[SQL 인젝션에 대한 이해] - "검색 기능에 대한 올바른 취약점 점검 방법" 강의 내용에 대해서 질문입니다.

2022-11-18T16:49:18.334Z

744

로그인 버튼

2022-11-18T06:31:56.609Z

286

php+mssql 연동

2022-11-15T12:28:58.778Z

449

취약점 실습 에러가 안나요

2022-11-05T06:03:15.982Z

240

php 기반 로그인 기능 제작 관련해서 질문드립니다.

2022-11-02T09:41:07.909Z

368

[실습 7-4, 7-5, 7-6] MySQL, MSSQL, Oracle union based 공격 실습 강의 이후 상세보기에서 순차적 데이터 호출 실습 질문

2022-10-29T15:41:34.013Z

316

[실습2-1] 취약점 분석 실습 도중에 질문있습니다 !!

2022-10-26T11:07:10.555Z

225

[실습6-1]MSSQL ERROR-BASED 공격 실습 관련 질문 내용

2022-10-23T11:02:06.019Z

374

ORA-12541

2022-10-21T12:39:12.945Z

897