모의 해킹

SQL Injection - 모의 해킹 사이트 구축(3)

게시판 페이지 1. 게시글 DB에 저장되어 있는 정보를 가져와 출력한다. 2. 사용자는 원하는 단어로 제목을 검색할 수 있다. DB 구축 swsecsql DB에 board 테이블을 만들었다. 글 번호(자동 설정됨), 글 작성자 이름, ID, PW, 성별, 이메일, 주소, 글 제목, 글 생성 시간을 저장한다. 이 정보를 가져와 글 번호, 글 제목, 작성자 ID, 글 생성 시간만 출력하는데, 만약 SQL Injection 공격을 당한다면 이 테이블의 정보가 모두 유출될 수 있다. 게시판 페이지 코드 swsecsql DB에 접속해 글 번호 순으로 정렬해 정보를 가져온다. No Result found! 사용자가 입력한 검색어를 검색하는 쿼리를 보내 가져온다. 홀수 행과 짝수 행의 색깔을 다르게 출력하기 위해 분..

SQL Injection - 모의 해킹 사이트 구축(2)

이제 SQL Injection이 가능한 취약한 웹 사이트를 만들 차례다. 취약한 사이트를 만들려면 사용자의 입력을 전혀 필터링하지 않고 작동만 하도록 만들면 된다. 나는 간단한 자유 게시판 사이트를 만들었다. 로그인 페이지, 게시판 페이지 두 개가 존재한다. 이왕이면 보기 좋게 만들고 싶어서 css도 조금 작성했다. 로그인 페이지 우선 로그인 페이지다. 작동 방식은 간단하다. 사용자가 로그인을 시도했을 때 사용자 DB에 저장되어 있는 ID/PW이면 로그인에 성공해 게시판 페이지에 접속할 수 있다. 사용자 DB에 저장되어 있지 않은 ID/PW이면 로그인에 실패한다. DB 구축 앞서 설치한 Bitnami 폴더에 mariaDB 폴더가 있을 것이다. cmd에서 C:\Bitnami\wampstack-8.1.12-..

SQL Injection - 모의 해킹 사이트 구축(1)

SQL Injection이 가능한 사이트를 만들려면 사이트 껍데기만 만드는게 아니라 실제 SQL DB와 연결되어 있는 사이트를 만들어야 한다. https://bitnami.com/stack/wamp/installer Infrastructure Bitnami Application Catalog Developer Tools,Infrastructure,Java,JDBC,Ruby on Rails,JRuby,MariaDB,Apache,node.js,NodeJS,Python,SQLite bitnami.com 나는 Bitnami WAMP를 설치해 사이트 환경을 구축했다. Bitnami는 가상 어플라이언스 및 웹 애플리케이션, 개발 스택용 소프트웨어 패키지 및 설치 라이브러리이다. WAMP(Windows/Apache/..