sqli

보안 기술/웹 & 시스템 해킹2026. 5. 12. 20:57

SQL Injection (SQLi)

💡 SQL Injection (SQLi) 심층 분석 및 백엔드 데이터베이스 장악 실무 가이드 (Master Spec)📌 핵심 요약 (TL;DR)본질: 웹 애플리케이션이 클라이언트로부터 입력받은 데이터를 검증 없이 데이터베이스 쿼리(Query) 문자열에 동적으로 결합(Concatenation)할 때 발생하는 파괴적인 구문 삽입 취약점임.위협 및 목적: 공격자는 인증 로직을 우회하여 관리자 권한을 탈취하거나, 타겟 인프라의 모든 민감 데이터(개인정보, 결제 정보)를 덤프(Dump)하며, 심지어 DB 서버의 OS 명령어 실행(RCE) 권한까지 찬탈함.대응 방안: WAF(웹 방화벽)의 필터링은 임시방편일 뿐이며, 백엔드 소스코드 레벨에서 Prepared Statements(파라미터화된 쿼리) 또는 ORM(J..

CTF/HTB2026. 4. 6. 17:11

Appointment

1. Target Overview (머신 요약)Target Name: AppointmentOS: LinuxDifficulty: Tier 0 (Starting Point)Vulnerability: SQL Injection (SQLi), Authentication Bypass (인증 우회)Attack Vector: Login Form Input Validation Failure (로그인 폼 입력값 검증 누락)2. 핵심 개념 총정리① SQL Injection (SQLi)웹 애플리케이션이 클라이언트로부터 입력받은 데이터를 필터링이나 이스케이프(Escape) 처리 없이 데이터베이스 쿼리에 직접 결합(Concatenation)할 때 발생하는 보안 취약점공격자는 악의적인 SQL 구문을 삽입하여 데이터베이스 구조를 열..