보안 (28) 썸네일형 리스트형 [WEB 보안] Blind SQL Injection 취약점_1 ※ 해킹 관련 게시글은 공부한 내용을 정리를 위한 목적으로 게시하였습니다. 꼭 가상 서버 및 연습 환경이 제공된 일부 사이트를 제외한 일반 사이트에 적용 및 악용 절대 금지합니다. 또한 블로그에서는 절대로 책임지지 않습니다. Blind SQL Injection : 보이지 않는 SQL Injection, 에러 기반(Error Based)의 SQL Injection을 막았을때 DB정보가 모두 블라인드 처리가 되어서 온다. 이때 서버에서 응답하는 참, 거짓으로만 DB 정보를 가져오는 방법이다. 1. 방법 : 1) 참/거짓 (1) 참 xyz' UNION SELECT 'a' WHERE 1=1-- (2) 거짓 xyz' UNION SELECT 'a' WHERE 1=2-- 2) users 테이블에서 Admi.. [WEB 보안] SQL Injection 대응 방법_1 ※ 해킹 관련 게시글은 공부한 내용을 정리를 위한 목적으로 게시하였습니다. 꼭 가상 서버 및 연습 환경이 제공된 일부 사이트를 제외한 일반 사이트에 적용 및 악용 절대 금지합니다. 또한 블로그에서는 절대로 책임지지 않습니다. String query = "SELECT * FROM products WHERE category = '"+ input + "'"; Statement statement = connection.createStatement(); ResultSet resultSet = statement.executeQuery(query); PreparedStatement statement = connection.prepareStatement("SELECT * FROM products WHERE cate.. [네트워크 보안] 대상정보 수집(도메인 정보) - Kali Linux - OS : Kali linux - 기능 설명 : 도메인 이름, IP 주소, 자율 시스템 등 인터넷 자원의 소유자와 범위를 검색하기 위한 통신 프로토콜이다. - whois 도움말 - 명령어 : whois -H google.com - 구글 도메인 정보 ※ 참조 : https://ko.wikipedia.org/wiki/%ED%9B%84%EC%9D%B4%EC%A6%88 [네트워크 보안] 대상 정보 수집(DNS 정보 수집) - Kali Linux OS : Kali linux 명령어 : fierce 기능 : 대상에서 사용하는 모든 IP 주소와 호스트를 찾아 사전공격, 근접네트워크 스캔과 일반적으로 기존 DNS 도구에서 사용되는 도메인 이름에 대한 검색, zone transfer, soa 레코드 덤프를 시도. - fierce 명령어 도움말 - fierce -dns google.com -threads 3 실행시 google이랑 연결된 DNS 정보를 확인 이전 1 2 3 4 다음
