1. 식별/인증 동시 + hash
https://boeunkim.tistory.com/22
해시(md5) 적용하기
회원가입 사이트에서 처음 가입을 할 때 md5($str) 알고리즘으로 비밀번호를 저장한다. 근데 이 방식은 보안성이 낮다고한다.... signupdb.php md5 알고리즘으로 저장된 문자열은 항상 같은 방식으로 암
boeunkim.tistory.com
▷ ID 칸에 'or '1'='1'-- 을 입력했다. (로그인 성공)
Password가 주석처리되는 SQL 명령문이면 로그인 된다. 식별/인증 동시 케이스와 같다.
2. 식별/인증 분리 + hash
식별/인증을 분리하는 경우에는 union을 사용한다. md5 알고리즘으로 해시 되어있는 걸 알고있기 때문에 SQL Injection도 이와 같은 방식으로 했다
3. 식별/인증 동시 + 개행
로그인이 성공하면 SQL문이 개행임을 알 수 있다.
'Web Hacking Study > 웹해킹' 카테고리의 다른 글
| XSS(Cross Site Scripting) (0) | 2022.04.21 |
|---|---|
| Ubuntu 20.04 한글 입력 설정하기 (0) | 2022.04.20 |
| 해시(md5) 적용하기 (0) | 2022.04.11 |
| 해시 정리 (0) | 2022.04.06 |
| 로그인 로직 케이스별 SQL Injection 인증 우회(식별/인증 동시&분리) (0) | 2022.04.05 |
댓글