Json으로 데이터를 주고 받을 때 인젝션
안녕하세요. 항상 양질의 강의를 제공해주셔서 정말 감사합니다! 대상 웹서버가 Json 형태로 데이터를 주고 받고 있는데요. 키 값에 SQLInjection 공격이 가능한가요? 저는 한번도 성공한 적이 없어서요. 된다면 URL 인코딩을 하지 않는 게 맞겠죠? 그리고 json형태로 데이터가 전달될 때 이게 api 사용인지 웹페이지 호출인지 어떻게 구분하는 게 좋을까요? 웹페이지도 확장자를 안 보이게 할 수 있으니까요 어떻게 구분하는 게 좋을지 궁금합니다 ^^ 감사합니다!
回答 1
0
키 값도 당연히 인젝션이 됩니다.ㅎ
일반적으로, {"idx": 100} 이러한 값이 전달 되고 있다면 {"idx": "101-1"} 이렇게 산술 연산자를 이용해 취약점 점검이 가능합니다.
다만, 서버 측에서 값을 어떻게 처리 하는 지에 따라 공격 가능 여부가 결정됩니다.
그리고 json 형식 전송 시 url 인코딩은 필요하지 않습니다.
보통 api 형태 사용을 위해서는 url에 api 구분을 하던지, 응답 값 내용이 json 혹은 xml 형식으로 되어 있습니다.
MsSql php 연결 문의
0
34
1
APMSETUP 대신에 bitnami를 사용해도 되나요?
0
36
1
질문드립니다
0
108
3
PHP 기갑 게시판 설치에서 오라클 게시판 오류
0
104
2
업데이트 부탁드립니다.
0
196
1
강의 환경설정 MSSQL 문제
0
174
1
In-line Query 와 Terminating Query
0
173
2
Prepared Statement 대응방안 궁금사항 질문있습니다!
0
141
2
게시판에서 oracle만 오류가 나는 이유를 모르겠어요
0
172
2
질문
0
179
2
쿼리 결과 오류
1
347
2
오라클 php 연동이 도저히 안됩니다.
0
539
1
case when 구문의 활용(2) 부분 질문 있습니다.
1
613
2
주석처리 관련 질문드립니다.
1
305
2
php & mssql 연동이 안됩니다.
2
534
2
xampp 최신버전 oracle 연동방법, 겪은 오류 정리
2
674
2
가상머신환경
1
307
2
현재 SQL 인젝션 강의를 듣고 있어요
0
230
1
? 플레이스 홀더 문자
0
354
1
mysql case when 구문이용
1
395
1
실습환경 오류 발생시 봐주세요!
0
333
1
php 버전 호환 문제
1
292
1
SQL이나 XSS 실습 서버
1
374
2
mysql 연결연산자 질문드립니다.
1
453
2