●식별과 인증
- 식별 : 데이터에서 특정 데이터를 구분하는 작업
- 인증 : 특정 서비스를 이용하려는 사람이나 응용 프로그램의 신분을 확인하는 작업
※SQL Injection 식별 처리과정 5가지
1. 식별 &인증 동시 진행
아이디 식별과 패스워드를 통한 인증을 동시에 진행한다.
2. 식별 & 인증 분리
아이디로 식별을 진행한 후에 DB에서 꺼내온 패스워드 정보와 입력한 패스워드 정보가 일치하는지 비교하여 인증한다.
3. 식별 & 인증 동시 진행 with hash
아이디 식별과 패스워드 인증을 동시에 진행하되, 입력한 패스워드를 해시값으로 변환시킨 뒤
DB에 저장되어 있는 해시화된 패스워드와 일치하는지 비교하여 인증한다.
해시함수로 아직까지 안전한 sha256을 사용하였다.
4. 식별 & 인증 분리 with hash
아이디로 식별을 진행한 후 DB에서 꺼내온 패스워드 정보와 입력한 패스워드의 해시값이 일치하는지 비교하여 인증한다.
5. 식별 & 인증 동시 진행 + 개행
식별과 인증을 동시에 진행하는 것은 이전의 경우와 같으나, 다른점이 있다면 중간에 개행('\n')이 들어간다.
SQL Injection 공격을 위해 주석(#)을 사용하여 주석 뒤에 오는 코드를 무력화 시키는 것을 방지하기 위해 사용된다.
'웹 모의해킹 > SQL Injection' 카테고리의 다른 글
| Blind Based SQL Injection (0) | 2022.11.09 |
|---|---|
| ERROR Based SQL Injection (0) | 2022.11.09 |
| UNION Based SQL Injection (0) | 2022.11.06 |
| SQL Injection (0) | 2022.11.01 |
| 우분투에서 MySQL 사용법 (0) | 2022.11.01 |
