교수님 이건 아니잖아요

아무것도 없는 화면에 소스코드만 뜬다. 소스코드 view-source 이 부분을 보자. id값으로 admin이 들어가야 문제가 풀린다. admin을 필터링하고 있기 때문에 그대로 넣을 수는 없다. 그리고 urldecode 함수도 사용해 다시 저장하는 것을 볼 수 있다. id=admin을 그대로 보내면 당연히 no!가 뜨고, url인코딩을 해서 보내도 no!가 뜬다. ?id=%61%64%6D%69%6E 자동으로 디코딩이 되어 admin으로 바뀌는 것을 볼 수 있다. 여기서 한번 더 url인코딩을 하면 될 것 같다. ?id=%2561%2564%256D%2569%256E 문제를 해결할 수 있었다.

로그인같은 입력칸이 있다. 아무거나 입력하면 access denied! 가 뜬다. 소스코드 확인 (중략) natas14 Username: Password: View sourcecode sql injection 문제이다. 기본적으로 or 1=1을 하고 뒤를 주석으로 날려줬더니 간단히 클리어했다. " or 1=1 # AwWj0w5cvxrZiONgZ9J5stNVkmxdk39J

XSS : 크로스 사이트 스크립팅(cross-site scripting) 웹페이지에 스크립트 언어를 삽입해 공격하는 클라이언트 대상의 공격 기법이다. 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되고, 의도치 않은 행동을 수행시키거나 민감한 정보(쿠키, 세션 토큰)를 탈취한다. 웹페이지나 게시판, 메일 등에서 발생한다. 기초적이고 단순하지만 강력하다. 많은 웹사이트들이 XSS에 대한 방어 조치를 해두지 않아 공격을 받는 경우가 많다. ( ) ! @ { } \n \t \0 ' " > < % $ 등의 문자를 이용해 공격한다. (특수 문자나 예약어, 스크립트를 나타내는 문자) ※ XSS를 통해 다음과 같은 피해가 발생할 수 있다. - 쿠키 정보 및 세션 ID 획득 - 시스템 관리자 권한 획득 - 악성코드 ..

◆ SQL 기본지식 SQL이란? Structured Query Language의 약자. 관계형 데이터베이스 관리 시스템(RDBMS)의 데이터를 관리하기 위해 설계된 특수 목적의 프로그래밍 언어이다. 문법이 단순한편이고, 모든 DBMS에서 사용 가능. 인터프리터 언어, 대소문자 구별 없음. DBMS와 소통할 수 있는 언어, 데이터베이스가 이해할 수 있는 질의 언어 쿼리 : 데이터베이스에 정보를 요청하는 것. 웹 서버에 특정한 정보를 보여달라는 웹 클라이언트 요청에 의한 처리. 대개 데이터베이스로부터 특정한 주제어나 어귀를 찾기 위해 사용됨. 쿼리의 3가지 방법 1. 메뉴에서 매개변수를 선택 2. 예제에 의한 쿼리 3. 쿼리 언어의 사용 테이블 : 세로줄과 가로줄의 모델을 이용해 정렬된 데이터 값의 집합. ..