웹 어플리케이션이 DB에 날리는 SQL을 개발자가 의도하지 않은 형태로 조작하여 공격하는 기법
select * from member where id =”아이디” and pwd = “비밀번호”
select * from member where id =’ or 1=1-- and pwd = “비밀번호”
id 에 ’ or 1=1— 를 입력한다
—는 오른쪽 쿼리를 주석처리한다.
때문에 어떤 비밀번호를 넣어도 로그인이 된다
위 실습 웹 사이트에서 로그인이 된 것을 볼 수 있다
응답 에러메시지를 통해 정보를 획득하여 공격하는 sql 인젝션 공격기법