이번 포스팅은 SQL인젝션 POST/Select 입니다. GET/select 방법과 유사하지만, 방식의 차이니 참고해주세요. 실습하는 모든 공격은 실제로 사용하시면 안됩니다. 허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며, 모든 법적 책임은 사용자에게 있는 것을 명심해주세요. 난이도 하 SQL 인젝션 - POST/Select 방법으로 접속하기 방식은 SQL(GET/Select)방식과 매우 유사 하지만, 전송방식의 차이가 있습니당. 'sqli_13.php' 페이지도 드롭다운 메뉴를 사용하여 선택한 영화의 정보를 표로 보여주네요. 하지만! sqli_2.php와 다르게 'POST 메소드'를 사용하여 요청하기 때문에 URL상에 변수가 나타나지 않습니다. 그렇기 때문에 프락시 도구인 'burp su..

php code injection 실습에 이어서, 오늘은 인젝션 기법 중 ssi injection을 실습해볼게요. 실습하는 모든 공격은 실제로 사용하시면 안됩니다. 허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며, 모든 법적 책임은 사용자에게 있는 것을 명심해주세요. SSI(Server-Side Includes? html 페이지의 전체 코드를 수정하지 않고 공통 모듈 파일로 관리하며 동적인 ㅐㄴ용을 추가하기 위해 만들어진 기능이다. 주로 방문자 수를 세거나 홈페이지의 로고 수정 등 간단한 기능 추가시 사용한다. ssi 를 사용하는 웹 페이지의 경우 ssi지시어 처리를 위한 .shtml (www.terms.co.kr/SHTML.htm) 확장자 파일을 생성한다. ssi지시어의 형식은 다음과 같은..