인프런 커뮤니티 질문&답변
작성한 질문수
실습 과정에서 ORACLE 궁금한점이 있습니다.
작성
·
307
1
[실습6-3 ]ORACLE ERROR-BASED 공격실습
과정에서 ORACLE은 게시글을 선택해서 idx 파라미터 값에서 인젝션을 하셨는데요.
게시글 검색란에서 인젝션을 수행할 때의 페이로드는 어떻게 해야할까요??
idx 파라미터 값에는 CTXSYS.DRITHSX.SN(1,(select+global_name+from+global_name)) 으로 해서 오류에 버전이 잘 나왔는데 검색 기능에는 도저히 페이로드가 생각나지 않아서 쓰게 되었습니다.
답변 1
0
크리핵티브
지식공유자
안녕하세요.
서버 측에 작성된 쿼리를 추론해서 알맞는 쿼리를 작성하는 것이 인젝션 공격의 중요한 부분입니다.
이에 대한 이해가 있어야 원할한 공격 페이로드 작성이 가능합니다.
검색 부분의 경우는 예를들어 아래와 같이 쿼리가 작성되어 있습니다.
select * from board where title like '%검색어%'
이러한 쿼리에서 어떻게 작성을 해야 정상적인 공격이 가능할지 고민을 해보시고 실습을 해보시면 공부가 많이 되실겁니다.