■ SQL Injection(Sql Lite)
sqlite란 무엇?
mysql이나 postgreSQL과 같은 dbms이지만 서버가 아니라 응용프로그램에 넣어 사용하는 비교적 가벼운 데이터베이스 가운데 api는 단순히 라이브러리를 호출하는 것만 있고, 데이터를 저장하는데 하나의 파일만을 사용하는 것이 특징
(주로 모바일
실제로 입력되는 값들을 찾아보면 'union select 1, sqlite_version(), 3,4,5,6--를 통해 SQLite 버전 정보가 출력되는 것을 확인
뒤의 --는 주석처리를 한다는 의미 즉 뒤에 무엇이 오든 상관이 없다는 의미이다.
앞에 어떠한 쿼리가 존재하지는 모르나 union으로 sql을 통합하고 그결과를 가져온다고 생각!!
'union select 1, sql, 3,4,5,6 from sql_master--를 입력하면 다음과 같이 쿼리문이 출력!!
'23.12.24 삭제예정 > 웹해킹' 카테고리의 다른 글
| ■ Day 2 HTML INJECTION (레벨 medium) (0) | 2019.02.11 |
|---|---|
| ■ Day 1 웹 해킹-디렉토리 리스팅 (0) | 2019.02.10 |
| oracle (0) | 2019.01.30 |
| html injection-stored, iframe 공격 (0) | 2019.01.29 |
| bee box를 이용한 취약점 점검 방법 (0) | 2019.01.29 |