묻고 답해요
130만명의 커뮤니티!! 함께 토론해봐요.
인프런 TOP Writers
-
해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
왜 취약점이 존재한다고 판단할 수 있는지 궁금합니다.
안녕하세요. 취약점 분석 방법론을 듣고 있다고 궁금점이 생겨 글을 올립니다.에러발생 유/무->에러가 발생하면 중요 정보가 노출이 될 수 있으므로 발생 유/무 체크취약점 유/무 확인->입력값이 dbms에서 해석될 수 있는지 체크(ex. idx=193-1 로 idx=192인 글이 조회되면연산자가 dbms에서 해석된 것이므로 sql injection공격이 가능할 가능성이 있다.) 조건구문완성->최종적으로 조건구문을 완성해야 error,blind sql injection 공격이 가능하므로 체크한다. 이렇게 이해해야 하는걸 까요? 특히, 취약점 유/무 단계에서 왜 설명해주신 방법으로 취약점 유무를 판별할 수 있는지 헷갈립니다. 단순히 입력값이 dbms에서 문법으로 해석될 수 있는지 체크하는 작업인가요?
-
해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
스프링을 배우는 게 나중에 웹 취약점 진단에 도움이 될까요?
현재 sql injection 1편을 거의 다 들은 학생입니다. 게시판 어플리케이션을 제가 직접 제작하고 취약점 분석, 공격, 시큐어코딩을 해보려고 합니다. php는 어느 정도 알지만 스프링은 하나도 모르기 때문에 공부를 해야하는데, 제가 듣기론 금융권은 스프링을 많이 쓴다고 들었습니다. 그냥 php로 제작하기 보단 스프링을 배워놓는게 도움이 될까요?(사실 그 시간에 웹해킹 공부를 더 하고 싶긴 합니다..)
-
해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
질문이 있습니다
오라클 blind sql의 경우 자세하게 설명이 안나와 있는데 혹시 테이블 개수 확인 후 테이블 명을 뽑을 때 어떻게 해야되는지 궁금합니다..
-
해결됨웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
맥 apmsetup 다운로드
맥으로 apmsetup 다운을 못해서 인터넷에 찾아봐도 모르겠는데 어떻게 해야되나요?
-
미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
마지막 서브쿼리문
서브쿼리문 select from (select from ex_member where 1=1) where id = ? 를 쓰면 placeholder 개수를 신경 안써도 된다는건 서브쿼리의 실행여부로 조건구문을 테스트 할 수 있다는 뜻인거죠? 즉, 서브쿼리가 성공적으로 수행되면 placeholder의 개수로 인한 에러가 뜰 것이고, 서브쿼리가 실패하면 테이블 없다는 에러가 뜨는 걸로 테스트 한다고 이해하면 될까요?그리고 sql 쿼리문 실행과정이 웹 기초 강의에서 구문분석,정규화->컴파일->쿼리 최적화->캐시->실행이라고 하셨는데 서브쿼리문을 쓰게 되면 서브쿼리에서 위의 과정을 한번 거치고, 전체 쿼리에서 위의 과정을 또 거쳐서 총 2번 거치는건가요?
-
미해결웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
인증서 설치하고 다 설정 제대로 되있는데 무한정 대기걸립니다.
강사님과 같이 파이어폭스에 폭스프록시 설치해서 동일하게 세팅하고 네이버 접속했는데 무한정 대기가 걸립니다. 인증서도 다운받아 신뢰가능한루트저장소에 설치된거도 확인했는데 무한정 대기가 안풀리네요ㅠㅠ 빠른 답변 주시면 감사하겠습니다.
-
미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
TIP)Warning: oci_connect() [function.oci-connect]: ORA-12541: TNS:no listener in C:\APM_Setup\htdocs\oracle_connect.php on line 6 Fatal error: ORA-12541: TNS:no listener in C:\APM_Setup\htdocs\oracle_connect.php on line 9
윈도우 11에서, oracleDB설치에 실패 후, VMware에서 환경 구축중입니다. 아래의 내용의 에러가 발생했을경우, 이전 다른분도 질문 남겨주셨지만, 해결책이 없어 고민하던중 stackoverflow에서 해결방법을 찾았고, 문제 해결이 되었으므로, 동일 혹은 비슷한 증상일 경우 한번 해보시길 추천드립니다. Warning: oci_connect() [function.oci-connect]: ORA-12541: TNS:no listener in C:\APM_Setup\htdocs\oracle_connect.php on line 6 Fatal error: ORA-12541: TNS:no listener in C:\APM_Setup\htdocs\oracle_connect.php on line 9 Step 1 - listener.ora 의 수정 C:\app\유저명\product\18.0.0\dbhomeXE\network\admin\listener.ora 을 연뒤, (ADDRESS = (PROTOCOL = TCP)(HOST = 아이피 어드레스 )(PORT = 1521)) 아이피어드레스를 0.0.0.0으로변경 (ADDRESS = (PROTOCOL = TCP)(HOST = 0.0.0.0 )(PORT = 1521)) Step 2 - oracle 관련 서비스의 재시작 윈도우키 + R 키 services.msc 입력후 목록에서 Oracle로 시작하는 모든 서비스를 재시작 다들 좋은 결과 있으시길 기원합니다. 원본링크 ) https://stackoverflow.com/questions/13358656/oracle-client-ora-12541-tnsno-listener
-
미해결모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
모의해킹 시
저 궁금한게 있는데 지금 ERROR-BASED까지 수강을 들은 모의해킹 입문자입니다. ERROR-BASED를 보고나서 궁금한게 php?IDX=4 extractvalue~~ 이렇게 데이터 조회 공격을 하는데 만약 컬럼값이 없는 로그인창 즉 .com .php .kr로 끝나는 도메인일때는 공격을 할 수가 없는건가용? 그게 아니라면 어떻게 공격을 실행해야 하나용?
-
해결됨모의해킹 실무자가 알려주는, SQL Injection 고급 공격 기법 : PART 2
mssql 3번라인 계속 에러나네요..
Fatal error: Call to undefined function mssql_connect() in C:\APM_Setup\htdocs\mssql_connect.php on line 3 강의에 나와있는데로 따라해봤는데 전부 똑같이 안되네요... 혹시 설치하신 가상머신 파일좀 받을 수 있을까요...ㅠㅠ
-
해결됨모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
Oracle Database 18c Express Edition를 다운받아 설치하는데 롤백이 되고 설치가 완료되지 않습니다.
설치가 되지 않네요ㅜㅜ 다른 버전을 설치해봐야 하나요?