이번 포스팅은 Blind SQL인젝션 웹 서비스/SOAP 방법 입니다. 실습하는 모든 공격은 실제로 사용하시면 안됩니다. 허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며, 모든 법적 책임은 사용자에게 있는 것을 명심해주세요. 설명에 앞서, 앞으로 하는 SQL 인젝션의 일부 공격들은 대응방안을 따로 포스팅 하지 않을게요. 대부분 같은 설명이기 때문에 생략하고, 다른 경우 기재하도록 하겠습니다. 난이도 하 'bilnd sql injection- web services/soap' 를 들어가서 실습하겠습니다. SOAP 의 자세한 개념은 아래 블로그를 참고해주세요. https://mygumi.tistory.com/55 SOAP(Simple Object Access Protocol)은 애플리케이션 계층..

이번 포스팅은 SQL인젝션 POST/Select 입니다. GET/select 방법과 유사하지만, 방식의 차이니 참고해주세요. 실습하는 모든 공격은 실제로 사용하시면 안됩니다. 허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며, 모든 법적 책임은 사용자에게 있는 것을 명심해주세요. 난이도 하 SQL 인젝션 - POST/Select 방법으로 접속하기 방식은 SQL(GET/Select)방식과 매우 유사 하지만, 전송방식의 차이가 있습니당. 'sqli_13.php' 페이지도 드롭다운 메뉴를 사용하여 선택한 영화의 정보를 표로 보여주네요. 하지만! sqli_2.php와 다르게 'POST 메소드'를 사용하여 요청하기 때문에 URL상에 변수가 나타나지 않습니다. 그렇기 때문에 프락시 도구인 'burp su..