* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다. 게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니 절대 악용해서는 안됩니다.-------------------------------------------------------------------------------------------- DB Schema 및 Data 알아내기 실습 : 대상 사이트 Camel 1. Table 명 찾기 2. 찾은 Table 중 회원 정보가 들어 있는 Table의 Column명 찾기 3. 위에서 찾은 정보로 계정 정보(ID, Password) 알아내기 # 테이블명 찾기 'and (select top 1 table_name from (select top 18 tabl..

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다. 게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니 절대 악용해서는 안됩니다.-------------------------------------------------------------------------------------------- * DATABASE SCHEME 파악하기 데이터가 어떻게 만들어져 있나. Client Side Validation 우회특정 문자 길이 이상 제한을 우회할 수 있다.서버에서 확인하는 것이 제일 좋다. 1. 데이터베이스 이름 찾기. 2. field명 찾기 3. record 찾기. 순으로 이루어진다. db 이름을 먼저 알아내는 작업을 하는 이유는, 다른 정보들을 찾..

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다. 게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니 절대 악용해서는 안됩니다.-------------------------------------------------------------------------------------------- 26일차에 CSRF 를 살펴보았다. 방어방법을 살펴봐야할 차례다. * 대응책- XSS 취약점이 없도록 한다 - Session Token만을 이용한 권한 부여 금지 - 서버가 클라이언트가 전달하는 Referer가 정상인지 확인하게 끔 한다 다른 것들이 실행되기전에 제일 먼저 확인해주는게 좋을 것 같다. 요청메시지중에 REFERER 헤더의 문자열을 가지고오게 된다..