샤핑의 데이터베이스

이번 시간에는 웹 해킹의 기초를 살펴보겠습니다. 먼저 예시로 사용할 프로그램을 소개해드리겠습니다. 이 프로그램은 send 버튼을 누르면 입력한 내용이 그대로 보여지는 웹사이트 입니다. (JSP-Servlet 기반) 밑으로 내려가면 다운로드 할 수 있으니 직접 실행시키고 싶다면 다운받아서 실행시키면 됩니다. 위의 사진에서 표시한 것과 같이 같이 내용을 입력하고 send 버튼을 클릭하겠습니다. 예전에 입력한 내용이 그대로 나타나는 것을 볼 수 있습니다. 웹페이지의 소스 코드를 조회해보겠습니다. 예전에 입력한 내용이 body 태그 안에 담긴 것을 볼 수 있습니다. 그렇다면 이 웹사이트에 해킹을 시도해보겠습니다. 위의 내용은 경고창(alert)을 띄우는 JavaScript 명령문 입니다. 이렇게 입력하고 sen..

보안은 위험, 손실 및 범죄가 발생하지 않도록 방지하는 상태를 뜻합니다. 따라서 컴퓨터 보안은 하드웨어 또는 소프트웨어 또는 데이터의 도난이나 손상, 컴퓨터가 제공하는 서비스의 중단 또는 오용으로부터 컴퓨터 시스템을 보호하는 것을 뜻하지요. 이번 게시글에서는 이러한 보안의 3대 요소에 대해 알아보겠습니다. 보안의 핵심적인 특징 이라고 하는데요. 줄여서 'CIA' 라고 부릅니다. 이 내용은 정보처리기사 실기, 전산직 공무원 시험에서도 출제된 적이 있으므로 준비하시는 분들은 알아두시는게 좋을 것 같습니다. 트랜잭션은 아래와 같이 4가지 특징을 가지고 있습니다. (1) 기밀성 (Confidentiality) - 인가받지 않은 대상에게는 정보를 공개하지 않는 것을 의미합니다. - 아무나 내용을 볼 수 없다고 이..

지난 시간에 SQL Injection을 이용한 해킹 기초를 살펴보았다면, 이번 시간에는 SQL Injection을 이용해 복수 쿼리문을 실행시키는 것을 알아보겠습니다. 단 이것은 JDBC에서 복수 쿼리문 실행을 허용했을 때만 가능한 방법입니다. 그리고 이 강의는 MySQL을 기반으로 진행하는 강의입니다. MsSQL과 Oracle은 복수 쿼리문 실행이 아예 불가능한 것으로 알고 있습니다. 우선 복수 쿼리문 실행을 허용하려면 DriverManager.getConnection() 함수에서 URL을 아래와 같이 세팅해놓아야 합니다. allowMultiQueries 인자 값을 true로 설정해주면 복수 쿼리문 실행 가능 상태가 됩니다. jdbc:mysql://localhost/testdb?allowMultiQue..

현대사회는 곧 유비쿼터스(Ubiquitous) 사회가 된다고 합니다. 소프트웨어가 점점 발전하여 컴퓨터 및 인터넷의 세대가 되는 만큼 보안 역시 중요한 요소가 되고 있습니다. 인터넷이 발전함으로써 접근성은 높아지지만 이를 악용하여 불법적으로 침입하는 사례도 늘어날 것이기 때문입니다. 이번 시간에는 해킹 기초 중 SQL Injection에 대해 알아보겠습니다. 이 강의는 JDBC를 기반으로 하는 내용이므로, JDBC를 모르시는 분들은 아래 링크에서 먼저 학습을 해주세요! https://sharpcoder.tistory.com/44 SQL Injection(SQL 삽입)은 응용 프로그램 보안 상의 허점을 의도적으로 이용해 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션 ..