SQL Injection 공격, XSS 공격

1678 단어 보안보안

https://www.hanbit.co.kr/support/supplement_survey.html?pcode=B5451383444

위 사이트의 예제를 이용하고, php 코드를 수정하여 사용했다.

학교 실습을 토대로 간단하게 어떤 공격인지 작성했다.

SQL Injection 공격

  
$sql = "SELECT * FROM members WHERE id='$id' AND pass='$pass'";

위 sql문을 이용한 공격이다. 위를 기준으로 실행을 한다면,

여기서 원래 맞지 않는 아이디와 비밀번호를 입력한다면 에러가 나와야 정상이다. 하지만,

이렇게 아이디에 'or''='를 입력하고 비밀번호에 아무거나 입력하면 로그인이 되는 모습을 볼 수 있다. 이처럼 sql문의 내용을 바꿔서 로그인을 하는것을 SQL Injection 공격이라고 한다.

XSS 공격

이번엔 게시판으로 이동을 하자.

게시판을 위 사진처럼 완성을 한 후에 게시판을 열어보면,

이런식으로 alert 경고가 뜬다. 코드또한,

이렇게 스크립트가 추가되는 모습을 볼수있다.
이를 XSS 공격이라고 한다.

좋은 웹페이지 즐겨찾기