| °£´ÜÇÑ SQL ÁÖÀÔ Ãë¾àÁ¡ ½ºÄ³³Ê ´Â À¥ »çÀÌÆ® ³»¿¡¼ SQL ÁÖÀÔ Ãë¾àÁ¡À» ã´Â µ¥ µµ¿òÀ̵˴ϴÙ. |
Áö±Ý ´Ù¿î·Îµå |
°£´ÜÇÑ SQL ÁÖÀÔ Ãë¾àÁ¡ ½ºÄ³³Ê ¼øÀ§ ¹× ¿ä¾à
- °Ô½ÃÀÚ À̸§:
- Valentin H bel.
- ¿î¿µÃ¼Á¦:
- Not Application
°£´ÜÇÑ SQL ÁÖÀÔ Ãë¾àÁ¡ ½ºÄ³³Ê ű×
°£´ÜÇÑ SQL ÁÖÀÔ Ãë¾àÁ¡ ½ºÄ³³Ê ¼³¸í
°£´ÜÇÑ SQL Injection Vulnerability Scanner´Â À¥ »çÀÌÆ® ³»¿¡¼ SQL ÁÖÀÔ Ãë¾àÁ¡À» ã´Â µ¥ µµ¿òÀ̵˴ϴÙ. ´Ü¼øÈ÷ URLÀ» Á¦°øÇÏ°í µµ±¸°¡ ¸ðµç ÀÛ¾÷À» ¼öÇàÇϵµ·ÏÇϽʽÿÀ. Ư¡ - ´ÜÀÏ URLÀ» °Ë»çÇϽʽÿÀ - SQL ÁÖÀÔ Ãë¾àÁ¡À» °¨ÁöÇÕ´Ï´Ù - À¥ ¿äûÀ»À§ÇÑ »ç¿ëÀÚ ¿¡ÀÌÀüÆ® - »ç¿ëÀÚ Ä£ÈÀû ÀÎ (»ç¿ëÇϱ⠽±°í, ¸ðµç °ÍÀÌ ÀÚµ¿ÈµË´Ï´Ù) - HTTP ¿äûÀ»À§ÇÑ ¿À·ù ó¸® - ªÀº ½ºÄµ º¸°í¼¸¦ Ç¥½ÃÇÕ´Ï´Ù - Á¦°øµÈ URL¿¡ ¿¬°áÇÒ ¼ö ÀÖ´ÂÁö È®ÀÎÇϽʽÿÀ Ãß°¡ Á¤º¸ ÆÄÀ̽ã (400 ÁÙ ¹Ì¸¸)À¸·Î ÀÛ¼ºµÇ¾ú½À´Ï´Ù. ¿ë¹ý ÆÄÀ̽ã SQLI_SCANNER.PY -U "http : //target/index.php? var1 = xvar2 = y" ºÎÀÎ ¼º¸í ÀÌ µµ±¸´Â ±³À° ¹× ħÅõ Å×½ºÆ® ¸ñÀûÀ¸·Î ÀÛ¼ºµÇ¾ú½À´Ï´Ù. Å×½ºÆ® ÇÒ ¼öÀÖ´Â À¥ »çÀÌÆ® ¸¸ È®ÀÎÇϽʽÿÀ. ÀÚ½ÅÀÇ ¶Ç´Â ´ç½ÅÀÇ °í°´ / Ä£±¸ Áß Çϳª. ³ª´Â ´ç½ÅÀ̳ª ´ç½ÅÀÇ ½ºÅ©¸³Æ®°¡ ¹ß»ýÇÒ ¼öÀÖ´Â µ¥¹ÌÁö¿¡ ´ëÇÑ Ã¥ÀÓÀÌ ¾ø½À´Ï´Ù. ÇöÁö ¹ýÀ» ¾Ë°í Á¸ÁßÇϽʽÿÀ. ¾Ë·ÁÁø ¹®Á¦Á¡ ¶§·Î´Â ´ë»ó À¥ ¼¹ö°¡ ´Ù½Ã ƯÁ¤ ¿À·ù¸¦ ´øÁ³½À´Ï´Ù (403, 500 µî). °£´ÜÇÑ SQL ÁÖÀÔ Ãë¾àÁ¡ ½ºÄ³³Ê ´Â SQL ÁÖÀÔ Ãë¾àÁ¡À» ãÁö ¸øÇÕ´Ï´Ù. ù ¹ø° Ãâ½Ã ¹öÀü 0.3ÀÇ ¸ðµç ±â´ÉÀÌ Æ÷ÇԵǾî ÀÖÀ¸¸ç ÀÌÁ¦´Â Ä÷³ ÆÛÁö°¡ ÀÖ½À´Ï´Ù. ÆÄÀ̽ã SQLI_SCANNER.PY -U "Target"¸¦ »ç¿ëÇÏ¿© ½ºÄµÀ» ½ÃÀÛÇÑ ´ÙÀ½ ¸Å°³ º¯¼ö -fuzz "Exploit URL"À» »ç¿ëÇÏ¿© ÆÛÁö¸¦ ½ÃÀÛÇϽʽÿÀ. ÀͽºÇ÷ÎÀÕ URLÀº ½ºÄ³³Ê (Ãë¾àÁ¡ÀÌÀÖ´Â °æ¿ì)°¡ Á¦°øÇÕ´Ï´Ù.
°£´ÜÇÑ SQL ÁÖÀÔ Ãë¾àÁ¡ ½ºÄ³³Ê °ü·Ã ¼ÒÇÁÆ®¿þ¾î