XSS, SQL Injection 등

웹 해킹은?

Buffer Overflow

• 제한 크기 이상일 때 발생한다.
  
• 정해진 버퍼를 벗어나 다른 영역을 덮어쓰는 비정상적인 현상
• 악의적인 비정상적인 코드 실행 위험!

XSS

• 악의적인 스크립트로 공격하여 원하는 정보를 취득하거나 공격을 가할 수 있는 해킹 기법
• input값이 외부에 노출될 위험!
• Cross의 c가 css 언어와 충돌하여 xss라는 약어를 사용!
  

노출되었다는 증거는 alert로도 충분히 확인 가능하다.

SQL Injection

• 특정 sql 쿼리문을 전송하여 공격자가 원하는 정보를 DB로부터 가져오는 해킹 기법
  
  

<예시코드> ```php Query : {$sql}


"; $result = @mysqli_fetch_array(mysqli_query($con,$sql)); if($result['id'] == 'admin') { solve(); } highlight_file(__FILE__); ?> ``` **정답**
ip/index.php?id=admin' -- -&pw=''

### **UNION**을 활용하여 SQL Injection `' union select database(), ch2, ch3, .., ch9 form information_schema.schemata`
%27: '
%20: 스페이스
-- -: 뒷 내용 주석처리
홈페이지상 데이터가 드러나는 순서컬럼에 원하는 값을 넣고 조회하기


## Blind SQL Injection - 참/거짓 쿼리문 입력 시 반환되는 서버의 응답이 다른 것을 악용하여 정보를 추출하는 공격 기법

`testtest' or id="ankita" and length(pass)<5 -- -`
 위처럼 비밀번호 길이를 알아내는 등 충분히 악용할 수 있음!!