비트(bit)주세요

Blind SQL Injection? : SQL Injection인데, 참/거짓 반응으로만 수행하는 공격 참/거짓 반응으로만 공격을 하기 때문에 많은 노력과 시간을 투자해야 합니다. 그래서 자동화 툴을 이용하고, 대표적으로는 sqlmap이 있습니다. 여기서 Blind SQL Injection을 진행하기 위해 SQL 사전지식이 몇가지 필요합니다. LIMIT [어디부터], [몇개] : 출력할 때, 행을 제한하여 몇개만큼 출력합니다 -> 처음 시작은 0번째 입니다. substr([출력 대상], [어디부터], [몇개]) 또는 substring([출력 대상], [어디부터], [어디까지]) : 출력 대상의 해당 지점부터 값을 몇개만큼 추출합니다. -> 처음 시작은 1번째 입니다. ex) SELECT substr('..

만약에 SQL의 기초가 되어 있지 않았다면 이 글을 먼저 보고 오시는 것을 추천드립니다. https://standardh.tistory.com/50 SQL Injection을 위한 SQL SQL Injection? : 악의적인 SQL문을 실행시켜 데이터베이스를 비정상적으로 조작하는 공격 방법 ※ SQL Injection을 실습하기 전, 알면 좋은 몇가지 DML(Data Manipulation Language) : 데이터 조작어 -> SELECT.. standardh.tistory.com SQL Injection? : 악의적인 SQL문을 실행시켜 데이터베이스를 비정상적으로 조작하는 공격 방법 어떻게? SQL 쿼리 하나를 예로 들자면 SELECT * FROM member WHERE id='{입력받는 값}' ..

JAVA에선 JDBC를 이용해 데이터베이스에 접근하고 결과를 출력합니다. 접근하고 결과를 출력하는 과정 중 statement는 SQL쿼리를 이해시키고 실행시키는 역할을 합니다. 근데 사용하다 보면 statement가 두가지로 나뉩니다. createStatement prepareStatement SQL 쿼리를 이해시키고 실행시킨다는 점은 같습니다. 차이점은? createStatement는 실행할 때마다 SQL 쿼리문을 생성합니다. prepareStatement는 SQL 쿼리문을 미리 생성해놓습니다. 예를 들어 SQL 쿼리가 String sql = "select * from student"; 이면 결과를 받아올 땐 Statement stmt = conn.createStatement(); ResultSet r..

JSP에서 DB를 연동하기 위해선 JDBC가 필요합니다. JDBC는 자바에서 데이터베이스에 접속할 수 있도록 하는 자바 API입니다. JDBC를 이용한 데이터베이스 연동과정은 다음과 같습니다. ① Package Import ② JDBC 드라이버 Load Class.forName("com.mysql.jdbc.Driver"); ③ Connection 객체 생성 Connection conn = null; String url ="jdbc:mysql://localhost:3306/[DB 이름]"; String user = "[DB 계정 아이디]"; String password = "[DB 계정 패스워드]"; conn = DriverManager.getConnection(url, user, password); ④ ..

sudo apt-get install mysql-server mysql secure installation 실행 암호 검증에 관한 물음 -> Y 암호 복잡도에 관한 정책 -> 2 루트 패스워드 설정 -> 2번 입력해야 함 비밀번호를 계속 사용하시겠습니까? -> Y 익명의 사용자를 지우겠습니까? -> Y 루트권한으로 외부 로그인을 허용하지 않을 것 입니까? -> n test 데이터베이스를 삭제하시겠습니까? -> Y privilege table을 다시 로드하시겠습니까? -> Y sudo mysql -u root -p로 mysql 접속