SQL Injection :: 2. Blind SQL Injection
2. Blind SQL Injection K-Sheild 에서 제공한 취약한 홈페이지를 대상으로 Blind SQL Injection을 실습 [ DB Table명 확인하기 ]Table 명은 DB 구조를 이해하는데 중요한 정보 제공 sysobjects : 시스템, 사용자information_schema.tables : 사용자 위는 테이블이지만 특정 필드에 테이블명들이 포함되어있다.(sysobjects 는 애초에 DB구축 시 따로 계정을 만들어서 지정된 계정에게만 검색기능 허용, 각각의 테이블마다 권한을 주게끔 권고) [ 점검방법 ] 1) 'and 1=1 -- (참) 2) 'and 1=2 -- (거짓) 3) 'and 'a' = substring('admin',1,1) -- (참) 'and 'm' = subst..
