여우의 IT

UTube media http://ontwik.com/php/sql-injection-myths-fallacies-best-practices-of-defense/

웹 취약점을 이용한 공격이 식을 줄 모르고 있다. 공격의 목적은 게임정보 탈취와 궁극적으로는 이를 이용한 게임아이템 거래로 돈을 벌기 위한 것이다. 정 보통신부와 KISA는 이에 대한 대책으로 중국에서 들어오는 IP들을 차단하고 있고 자금 여력이 없는 중소기업의 웹사이트 관리자에게 공개 웹방화벽 구축을 권유하고 있으며 개인 PC의 보안패치율을 높이기 위해 각종 캠패인을 벌이고 있다. KISA 에서 운영하는 ‘보호나라’에서는 대국민 서비스로 원격 PC점검을 해주고 있고 대기업을 중심으로 보안솔루션 도입과 시스템 구축이 한창이다. 하지만 이러한 노력에도 불구하고 해킹 관제 서비스를 실시하고 있는 업체에서는 하루에도 2백~3백건의 해킹이 이루어지고 있고 이를 통한 악성코드 유포가 지속적으로 이루어지고 있다고 ..

요즘 인젝션 패턴에 관한 텍스트 문서가 많은데요. 문서마다 거의 비슷하지만, 다른 문서에는 다루지 않은 특정 패턴이 있는 경우가 많습니다. 이런것들을 잘 정리해서 자기만의 인젝션 패턴을 보유하는게 좋을것 같습니다. 대상 DB서버: SQL SERVER(MSSQL) ###################################################### ## 인젝션 가능 파일 찾기 ###################################################### http://xxx/tmp/mypc.asp?id=111 0.인젝션 스트링 종류 str 1) ' or''=' 2) ' or 1=1-- 3) ' or 'a'='a-- 4) 'or'='or' 5) " or 1=1-- 6) " or..