Indirect SQL Injection

Hacking/Web 2019. 8. 11. 20:45
반응형

오늘은 인터넷을 돌아다니다가 [Indirect SQL Injection]이라는 것에 대해 알게 되었다.


일단 Indirect SQL Injection이란 무엇을 의미하는지 보도록 하자.


말그대로 번역을하면 간접적인 SQL Injection이다.

이를 조금 더 풀어서 이야기하자면 비정상적인 데이터를 삽입하였을 때 바로 Injection이 터지는 취약점이 아니라, 삽입한 데이터가 조회될 때 비로소 Injection이 터지며 정보가 노출되는 취약점이라 생각하면 된다.


이에 대한 예시는 아래 블로그를 참고하였다.


1) Rubiya 님의 Webhacking.kr 의 Stored XSS

https://blog.rubiya.kr/index.php/2018/11/28/webhacking-kr-stored-xss-vuln/


2) 진모씨 님의 로그인할 때의 Injection SQL Injection

https://gooverto.tistory.com/entry/Indirect-SQL-Injection


이 두 블로그 글을 참고하면 어떤 느낌인지 올 것이다.


Real World에서도 충분히 발생될 수 있다는 생각이 들었고, 추후 개발할 때에도 신경써서 개발해야겠다는 생각이 들었다.


만약 Indirect SQL Injection과 관련된 Writeup을 작성하게 될 경우 해당 포스팅을 링크걸어둘 생각으로 작성해둔다.

반응형

'Hacking > Web' 카테고리의 다른 글

LFI  (0) 2019.08.16
tar 명령어 이용 시 주의사항  (0) 2019.08.11
Controller Location In Spring Framework  (0) 2019.07.29
MYSQL load_file & into outfile  (0) 2019.06.28
[JAVA] AES256 decrypt Code  (0) 2019.04.25
블로그 이미지

rootable

,