214,

7/11

회원가입

로그인

kmc8724

SQL Injection 공격기법 질문드립니다.

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_Web&no=151 [복사]

현재 실습중에 있는데
replace(변수명,"'","")

싱글 쿼터 -> NULL로 변경하는등
특수문자를 전부 NULL로 변경해 주었습니다.

물론 파일은 asp이구요.

이 상황을 우회하거나 뚫는 방법이 뭐가있습니까?
알려주세요

Hit : 4755 Date : 2013/07/03 03:15


rubiya	싱글쿼터 한글자를 치환할때는 replace를 우회할수는 없지만 입력받는곳을 싱글쿼터로 묶지 않았다면 공백문자(%20)를 사용해서 select * from table where no=1 에다가 select * from table where no=1 union select ... 이런식으로 원하는 쿼리를 덧붙일 수 있습니다. 싱글쿼터 자체를 필터링할경우에는 그 외에는 공격이 불가능한걸로 알고있습니다.	2013/07/04
kmc8724	rubiya / 루비야님 먼저 소중한 답변 감사드립니다(_ _) 공부가 됬습니다. * 이런것도 replace로 막은상태면 아애 SQL injection공격이 불가능하게되네요? 그러면 다른 공격기법으로 해킹을 시도해야하는건가요?	2013/07/04
rubiya	네 다른 방법을 찾아보시는게 좋아보이네요ㅋ	2013/07/05

94

sql injection 관련해서 질문입니다.[2]

cdpython

07/28

3497

93

sql injection 공격 오류반환질문이요.[4]

yayaja11

03/21

2815

SQL Injection 공격기법 질문드립니다.[3]

kmc8724

07/03

4754

91

SQL injection 기본

ewqqw

03/24

3173

90

sql injection 방어 코드[2]

europa8340

10/04

2836

89

sql injection 실습 하려는데요 ...ㅠㅠ[1]

wjscjfalsWkd1

06/20

4524

88

sql injection인데요[3]

kangms0801

09/03

3770

87

sqlmap 관련및 데이터베이스 관련에 질문합니다[1]

r0ki

10/10

3400

86

sslstrip으로 트위터 스니핑 해본신분 있나요?

테츠

02/21

3383

85

teleport pro 질문입니다.[1]

mookung

09/19

7090

84

URL을 활용한 Json 파일 API분석

huny606

12/24

2902

83

vbscript로 클라이언트 신뢰할 수 있는 사이트 등록 하는 방법이 궁금합니다

lekel09

10/10

4777

82

webhacking.kr[1]

가면속의미소

04/28

4956

81

webhacking.kr 30번 도움좀 주실분...[1]

kumi123

07/30

4552

80

webhacking.kr 33-4번문제 질문입니다.[3]

hygasyde

03/26

4473

79

webhacking.kr 가입문제 질문드립니다[3]

kangms0801

03/29

5488

78

webhacking.kr 가입문제 바껴서 잘 모르겠습니다[1]

ㅋzㅣlㅂqㅗhㄷeㅡm

01/18

5856

77

Webhacking.kr 문제를 풀다가..

alstnsms67

08/02

2714

76

WPA2/PSK 관련 질문이 있습니다.

roccafort

04/30

2847

75

wpe같은 프로그램의 원리를 이해하려면..[1]

attainer

11/01

4360

[1][2][3][4][5][6] 7 [8][9][10]..[11]

Copyright 1999-2024 Zeroboard / skin by Hackerschool.org / Secure Patch by Hackerschool.org