Inflearn Community Q&A
asked
Json으로 데이터를 주고 받을 때 인젝션
Resolved
Written on
·
577
1
안녕하세요. 항상 양질의 강의를 제공해주셔서 정말 감사합니다! 대상 웹서버가 Json 형태로 데이터를 주고 받고 있는데요. 키 값에 SQLInjection 공격이 가능한가요? 저는 한번도 성공한 적이 없어서요. 된다면 URL 인코딩을 하지 않는 게 맞겠죠? 그리고 json형태로 데이터가 전달될 때 이게 api 사용인지 웹페이지 호출인지 어떻게 구분하는 게 좋을까요? 웹페이지도 확장자를 안 보이게 할 수 있으니까요 어떻게 구분하는 게 좋을지 궁금합니다 ^^ 감사합니다!
모의해킹인젝션
Answer 1
0
crehacktive
Instructor
키 값도 당연히 인젝션이 됩니다.ㅎ
일반적으로, {"idx": 100} 이러한 값이 전달 되고 있다면 {"idx": "101-1"} 이렇게 산술 연산자를 이용해 취약점 점검이 가능합니다.
다만, 서버 측에서 값을 어떻게 처리 하는 지에 따라 공격 가능 여부가 결정됩니다.
그리고 json 형식 전송 시 url 인코딩은 필요하지 않습니다.
보통 api 형태 사용을 위해서는 url에 api 구분을 하던지, 응답 값 내용이 json 혹은 xml 형식으로 되어 있습니다.
답변 감사합니다 ^^