SQL Injection 필터우회의 모든 것 (펌) 우선 필터링에 대해선 크게 3가지로 나뉜다. 1) MySQL syntax MySQL은 상당히 말랑말랑한 문법체계를 가지고 있다. SeLeCT와 같이 keyword는 대소문자를 구분하지 않고 select * from users와 같은 query도 공백을 필터링하는 경우 %0a 같은 delimiter를 쓸 수 있고 또한 select(*)from(users); 와 같이 공백이 필요한 부분에 ()를 감싸는 것도 적법한 문장이다. 이러한 MySQL의 특성을 이용해 여러가지 필터링을 우회할 수 있다. 2) Keyword Filter 인젝션을 가능하게 하는 여러가지 키워드 (union, select, limit, having, like) 등등의 필터링은 인젝션을 얼핏봐서는 불가능하게 만든다. 이런 경우에 mysql내.. 2023. 1. 6. 이전 1 다음