214,

3/11

dbman

이 조건에서 sql injection이 가능한가가 궁금합니다.

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_Web&no=113 [복사]

여러분들의 참고 의견을 듣고 싶어 질문 합니다.

저는 웹개발 경력은 매우 짧으면 db에 대한 깊은 지식이 없습니다만
이게 가능한가가 궁금합니다.

조건은 다음과 같습니다.
1. 어드민 권한을 가진 계정에 인증식별자가 없음. (id@127.0.0.1같은 식별자)
2. 회원정보 테이블이 있음.
3. 공격자는 db관련 모듈을 이용하여 따로 프로그래밍 함. (웹상의 공격이 아닌 따로 어플리케이션 개발)
4. db는 외부접근이 가능.
5. 공격자는 db주소를 알고 있음.

더 있겠지만은 생각이 잘 안나네요..;

injection 공격이 가능하지 않을까 라고 생각한 이유.

프로그래밍을 하다보니 sql injection에 대한 궁금증이 생겼고
검색을 하다가 가령 php라면 id/pass 부분에서 escape 시켜주면 injection을 막긴 막을 수 있다는 글을 봤습니다.
예전 java를 공부할때 db컨넥터 모듈을 이용하여 db에 접근한 적이 있었는데
만약 위 5개의 조건이 맞고 공격자가 db의 주소를 알고 있다는 가정하에
따로 프로그램을 개발하여 injection 공격이 가능하지 않을까 하는 생각입니다.

이야기 문맥이 조금 이상하다만 많은 의견 부탁드리겠습니다.

Hit : 3476 Date : 2012/05/16 11:25


asdwho	웹 개발을 하시다보면 적어도 게시판이랑 회원목록은 db 테이블 만들어야 하는데 그렇게 되면 당연히 2번과 4번은 만족할테고 5번은 db 주소를 알고있든 없든 sql 인젝션은 가능합니다. 3번도 SQL 인젝션이랑 관련이 없어보이구요. 사실 1번도 관련이 있는지 없는지 모르겠습니다. id/pass부분에 escape 막는다 하더라도 게시판에서 인젝션될수 있구요.. 질문 내용이.. 좀 이상하다고 생각이 듭니다.	2012/05/17
dbman	제 질문의 요지는 웹브라우저에서가 아니라 공격자가 개발한 프로그램에서 injection 가능여부가 궁금한거에요 3번조건이 있는것도 그 이유구요.	2012/05/17

174

../ 경로에 대한 질문[1]

daydreamss

07/09

3182

이 조건에서 sql injection이 가능한가가 궁금합니다.[2]

dbman

05/16

3475

172

상대방에게 URL을 보내는 방법[1]

ddr4869

01/20

3702

171

load of sql injectin을 풀구있습니다..[3]

deadbeef

02/15

3800

170

이게 웹해킹과 관련있는건지 모르겠지만요[2]

dldduzo11

05/31

3621

169

웹해킹 공부 순서에 관한 질문입니다..[1]

dlrjsdn963

07/27

4198

168

PHP에서 이메일 전송할때 가로챌 수 있나요?[9]

drrobot333

11/16

2592

167

XSS <> 치환 우회가 가능한가요?[2]

drrobot333

11/19

3627

166

웹 해킹 질문입니다.

dsgoidsog

11/26

2778

165

False Injection에 관한 질문입니다.[3]

dudtntdud

01/18

2649

164

칼리리눅스 웹 취약점 점검 스캐너 질문..

duwkakstp1

08/21

4107

163

웹해킹을 배우고싶습니다..[2]

edustars

05/24

3584

162

웹해킹 입문할려고합니다. 조언및과외해주실스승님 구합니더[3]

edustars

09/26

2884

161

공인IP, 사설IP[2]

ehdgns3136

11/06

3877

160

웹해킹 질문[1]

ericseo16

10/14

2842

159

아파치 설정중 오류[2]

eunjong147

02/06

8419

158

웹 sqlmap 중에[1]

europa8340

07/26

2271

157

sql injection 방어 코드[2]

europa8340

10/04

2829

156

get method 에 관한 질문[1]

ewqqw

03/13

2771

155

POST METHOD

ewqqw

03/13

2417

[1][2] 3 [4][5][6][7][8][9][10]..[11]