-
카테고리
-
세부 분야
보안
-
해결 여부
미해결
SQL인젝션 강의 중 취약점 분석 방법론에서 궁금한 점이 있습니다
22.03.22 20:57 작성 조회수 123
1
안녕하세요! 강의 덕분에 SQL 인젝션 공부에 많은 도움이
되고있습니다:D
강의 듣던 중 궁금한 점이 생겼는데
---------------------------------------------------
6) 취약점 분석 방법론
검색 기능 동작 원리 분석을 통한 올바른 분석 방법
예시(1)
~title like '%test' and '1'='1%'
거짓 거짓
=> 거짓
---------------------------------------------------
~title like'%test%' and '1%'='1%'
참 참
=> 참
이렇게 말하셨는데 참에서 '1%'='1%'이 부분에서 앞의 '1%'이 부분에 %를 넣어주는 이유는 단순히 뒤의 %와의 참값을 위해 똑같이 맞춰주는 용도인가요?
그럼 아래와 같이 와일드 카드가 앞에만 있다고 가정하면
~title like '%test' and '1'='1' 이런식으로!
이런 경우에는 ~title like'%test%' and '1'='1' 이런식으로 검색해야 결과 값이 나오는게 맞을까요?
답변을 작성해보세요.
1
크리핵티브
지식공유자2022.03.23
안녕하세요.
"이렇게 말하셨는데 참에서 '1%'='1%'이 부분에서 앞의 '1%'이 부분에 %를 넣어주는 이유는 단순히 뒤의 %와의 참값을 위해 똑같이 맞춰주는 용도인가요?" 이렇게 말씀하신게 정확하십니다 ㅎㅎ
뒤에 있는 % 문자를 처리하기 위함입니다.
그리고 와일드 카드가 앞에 있다면 위에서 언급하셨던 식으로 하시면 되구요 ㅎㅎ
정확하게 이해하고 계시네요 ㅎㅎ
답변 1