반응형
오늘은 인터넷을 돌아다니다가 [Indirect SQL Injection]이라는 것에 대해 알게 되었다.
일단 Indirect SQL Injection이란 무엇을 의미하는지 보도록 하자.
말그대로 번역을하면 간접적인 SQL Injection이다.
이를 조금 더 풀어서 이야기하자면 비정상적인 데이터를 삽입하였을 때 바로 Injection이 터지는 취약점이 아니라, 삽입한 데이터가 조회될 때 비로소 Injection이 터지며 정보가 노출되는 취약점이라 생각하면 된다.
이에 대한 예시는 아래 블로그를 참고하였다.
1) Rubiya 님의 Webhacking.kr 의 Stored XSS
https://blog.rubiya.kr/index.php/2018/11/28/webhacking-kr-stored-xss-vuln/
2) 진모씨 님의 로그인할 때의 Injection SQL Injection
이 두 블로그 글을 참고하면 어떤 느낌인지 올 것이다.
Real World에서도 충분히 발생될 수 있다는 생각이 들었고, 추후 개발할 때에도 신경써서 개발해야겠다는 생각이 들었다.
만약 Indirect SQL Injection과 관련된 Writeup을 작성하게 될 경우 해당 포스팅을 링크걸어둘 생각으로 작성해둔다.
반응형
'Hacking > Web' 카테고리의 다른 글
| LFI (0) | 2019.08.16 |
|---|---|
| tar 명령어 이용 시 주의사항 (0) | 2019.08.11 |
| Controller Location In Spring Framework (0) | 2019.07.29 |
| MYSQL load_file & into outfile (0) | 2019.06.28 |
| [JAVA] AES256 decrypt Code (0) | 2019.04.25 |
rootable