214,

6/11

회원가입

로그인

kmc8724

SQL Injection 공격기법 질문드립니다.

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_Web&no=151 [복사]

현재 실습중에 있는데
replace(변수명,"'","")

싱글 쿼터 -> NULL로 변경하는등
특수문자를 전부 NULL로 변경해 주었습니다.

물론 파일은 asp이구요.

이 상황을 우회하거나 뚫는 방법이 뭐가있습니까?
알려주세요

Hit : 4716 Date : 2013/07/03 03:15


rubiya	싱글쿼터 한글자를 치환할때는 replace를 우회할수는 없지만 입력받는곳을 싱글쿼터로 묶지 않았다면 공백문자(%20)를 사용해서 select * from table where no=1 에다가 select * from table where no=1 union select ... 이런식으로 원하는 쿼리를 덧붙일 수 있습니다. 싱글쿼터 자체를 필터링할경우에는 그 외에는 공격이 불가능한걸로 알고있습니다.	2013/07/04
kmc8724	rubiya / 루비야님 먼저 소중한 답변 감사드립니다(_ _) 공부가 됬습니다. * 이런것도 replace로 막은상태면 아애 SQL injection공격이 불가능하게되네요? 그러면 다른 공격기법으로 해킹을 시도해야하는건가요?	2013/07/04
rubiya	네 다른 방법을 찾아보시는게 좋아보이네요ㅋ	2013/07/05

114

웹툰보다가 스택오버플로우됬는데

kimthon

01/19

3596

113

쉘로 인터넷 접속

sean95

02/14

3211

112

웹사이트 해킹관련 문의드립니다.[1]

chniow

02/27

3206

111

이 공격 무슨 공격인지 아시는 분[1]

power3122

03/26

3325

110

웹 해킹을 배우고싶습니다.

a12341z

04/05

3162

109

로그인 페이지 구현중 header 함수의 의미[2]

ka0r1

04/10

4705

108

로그아웃 구현[1]

ka0r1

04/10

3613

107

header와 body가 구분되어 있는 이유?[4]

ka0r1

04/12

4640

106

SQL Injection[5]

ka0r1

04/14

3602

105

MySQL 질문[2]

ka0r1

04/15

3465

104

웹해킹을 배우고싶습니다..[2]

edustars

05/24

3549

103

웹 언어 질문 드립니다.[5]

pk920207

05/31

3098

102

LibrettoCMS 2.2.2 - Arbitrary File Upload 아시는분 계신가요?

제로시

06/16

3344

101

ip만으로 해킹가능한가요?[5]

clova777

06/25

7653

100

운영중인 웹사이트의 DB정보 해킹[2]

cameo305

07/01

8721

SQL Injection 공격기법 질문드립니다.[3]

kmc8724

07/03

4715

98

파로스 깔아서 실행시켰는데 왜이러죠?(사진有)[1]

ygh159

07/13

4284

97

파로스

zen0c1de

07/18

3221

96

웹서버 해킹및 보안에 관한 질문입니다.[2]

laysiankim

07/15

3260

95

안녕하세요 이번에 안드로이드 sql서버를 구축하게 되었는데요..[2]

까뭄다르끼

07/18

4330

[1][2][3][4][5] 6 [7][8][9][10]..[11]

Copyright 1999-2024 Zeroboard / skin by Hackerschool.org / Secure Patch by Hackerschool.org