SQL injection 공격
ฝัง
- เผยแพร่เมื่อ 5 ก.ค. 2024
- injection 방어 까먹은 폼은 분명 있다
코딩애플 사이트 의문의 로그인시도 증가 codingapple.com
일반강의 10% 할인 쿠폰 : CP123 (맨날 바뀜 최신영상 참고)
BGM : Undertale - Dummy
0:00 1. injection 테스트
2:09 2. 강제로그인
2:59 3. admin 권한
3:55 4. 테이블 출력
5:09 5. 예방은 - วิทยาศาสตร์และเทคโนโลยี
와 진짜 댓글 안다는데 이렇게 쉽게 풀어주셔서 정말 감사합니다! 앞으로도 많이 올려주세요!!
추석기념 해킹방법공개 ㄷㄷ
세벳돈 자가수급;;
추석때 대응해야할듯 ㅋㅋㅋㅋ
스팸보다 의미있음
아 이렇게 직접 해보니까 강의에서 들었을때보다 휠씬 와닿네요
재밌게보고갑니다👍
5:16 이 꿀팁이 널리 퍼진다면 개발자들 다 죽기때문에 아차 싶어서 영상짜르신것같습니다. 상남자들 화이팅.
보안담당자한테 죽빵 맞고 진짜 죽음 엌ㅋㅋ
ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ존나웃김
ㅋㅋㅋㅋㅋㅋㅋ 저거 보고 육성으로 미친놈 나왔다 ㅋㅋㅋㅋㅋㅋ
해킹 아예 모르는 사람인데 주석처리하는거 보고 ㅈㄴ 웃었네 ㅋㅋㅋㅋㅋㅋ 저런 참신한 방법이 ㅋㅋㅋㅋㅋㅋ
유면한 인젝션공격 방법이에요
SQL 인젝션에 대한 예시와 설명을 가장 자세하게 해준 최초의 동영상인거 같다
공감입니다. 단어만 들어보고 실제 교육받아본 적이 없어요
비전공자인데 이해한거같읍니다
ㄹㅇㅋㅋ 정처기공부할때나 본건데 그게 이런거였네..
최근에 db털리셨나요 요즘 DB 영상을 많이 올리시네
Sql injection 실습 하시고 싶은 분들은 DVWA 실습 환경 구축하면 난이도 선택도 하시면서 실습하실 수 있슴다
공부삼아 만든 내 사이트 방금 자체검검 결과 딱 뚤리네요 ㅎㅎㅎ 얼른 막았습니다 ! 감사감사요 ~!
ㅋㅋㅋㅋ 오늘도 기대를 저버리지 않았다 5:12
교훈 +1. 인젝션 방어도 중요하지만 Api에서 스택트레이스 같은 내부 에러메시지 밖으로 뿜으면 안됨. 예외처리좀!!!
오늘 sql인젝션 관련 포스트 봤는데 마침 이게 올라오네 ㄷㄷ
취준생 포폴들 sql인젝션 드가자~
재밌게 봤구요
언제봐도 질리지 않는 이야기
형 개쩐다 다른 예시들도 더 올려줘!!
재미삼아 웹사이트 하나 만들려는 저란 인간.... 이거 보고 소름이 쫙 돋았습니다 😬
인젝션의 방어는 preparedstatement입니다.
나중에 xss도 다뤄주세요
sql escape 꼭 하도록 합시다
똘끼💪👍 코딩애플님 😂
코딩애플 유머 개웃김ㅋㅋㅋㅋㅋ
아...그럼 자동차 번호판에 막 뭐 써서 피하려고한다 이런 해외짤이 SQL injection 방법이었던거군요 ㅋㅋㅋㅋㅋ
애초에 UI단에 고대로 에러메시지를 출력하게 만들었다는것부터가 이미 개판인 상황이죠.
에러발생하면 back단에서 로그로 출력하고 발생한 에러 case별로 출력할 실패내용을 정리해서 프론트에서 표시하는게 정상이죠.
영상 진짜 깔끔하다
덕분에 사이트 하나 털었습니다 감사합니다
prepared statement 외에는 확실한 방법은 없습니다. 문자 이래저래 아무리 필터링 해봤자 문자 인코딩을 바꾸거나 기상천외한 방법들이 있기 때문에 근본적으로 sql문과 데이터를 분리해야 합니다.
orm 이 막아주는 이유는 일반적으로 내부적으로 prepared statement 를 쓰는 경우이서일뿐 orm 이라서 해결이 된다고 보긴 어렵습니다.
고맙습니다. 회사가서 한번 써봐야겠네
아마도 인젝션공격은 요즘 보안이 좋아서 다 막힐꺼에요
0:18 ㅋㅋㅋ인간 변기
이 형 개쩌는 형이었네 ㄷㄷㄷㄷ
요즘 orm이 잘 되있어서 orm쓰면 보안해줍니다.
왠만한 FE 프레임워크에선 SQL 인젝션을 1차적으로 방어하긴 하는데 그래도 서버단에서 대비는 필요....
프론트엔드는 전부 브라우저나 curl 선에서 조작가능해서 서버 에러처리는 기본인데..;;;
10분전 영사응ㄴ 쌀거같아요 형아,,
해킹강의보면 욕하는이유가 막기위해 해킹하는방법 알아야한다면서 해킹시도시 해결방법은 안알려주고, 해킹툴사용법 해킹방법, 만 강의 하는데, 여긴 유지보수까지 완벽하네요!
님이 그런것만 봐서 그럼
윗 분 말에 동감합니다. 보통 보안 취약점 관련 영상은 취약점 소개, 공격 페이로드 확인 및 테스트, 취약점 패치 방법 및 조치가 미흡한 환경에서의 우회 방법과 같은 플로우로 영상이 진행이 됩니다. 취약점 조치 방안이 나오지 않는 영상을 시청하셨다면 윗 분 말대로 그냥 공격 시연 영상 위주로 찾아보신게 아닌가 생각이 듭니다.
sql injection에 예방법을 안알려쥬는 영상은 본적이없는데
SQL 인젝션 방어도 중요하지만, 어쨌거나.....토이 프로젝트 급의 작업을 할 땐 가라 데이터 넣기 귀찮다고, 자기 개인정보 넣지 말길......이걸 왜 아냐고요? 아 ㅆㅂ....
ㅋㅋㅋ썰 궁금하네유
챗GPT야 더미 데이터 5개만 만들어줘
이런거는 정보보안기사를 공부하면 배울 수 있나요?
그냥 개발 기초만 따라갈땐 들어볼 수 없었던 내용이네요
it에서 자격증은 심심할 때 따는겁니다 쓰잘데기없는거만 나와서 실무자들도 시간투자 잘 안해요
정처기에서도 기본적인 보안 내용들은 나옵니다 겉핥기 정도지만여
어느정도는 배웁니다.
ㅋㅋㅋㅋㅋㅋㅋ 상남자 예방법ㅋㅋㅋㅋ 애송이 이건 “공개키” 라는 거다!
오! 좋은 정보
코드는 안짜지만 영상은 챙겨보는
근데 요즘 사이트들은 절대 유저입력을 직접 코드에 안집어넣을 텐데 아직 sql injection이 설 자리가 있나요?
와 계정을 url로 투명하게 공개하면 해킹할 이유가 없어지내 당신은 천재입니까?
보안관련 영상 진짜 재밌네
제가 신입으로 처음 개발할때 혼난부분이 그대로 나와있네요 ㅋㅋ
50년 넘게 현역인 버퍼오버플로우도 다뤄 주세요
펀집 기가막히네요. 내용은 더 말할것도 없구요.
DB 컬럼에 제약사항 넣어주면 안될까유?
ex 아이디 칸에는 영문자만 입력 가능하도록
prepared statement 쓰면 완벽방어됩니다
Same Orgin policy도 알려주세여ㅠ
Php 에서 addslashes 쓰는게 sql인젝션 예방에 만능이 아닐 수도 있는건가요??
pdo로 prepared statement를 쓰셔야 합니다
@@yooni4650 웹개발 1도 공부 안하고 그누보드 야매로 만지면서 조금씩 접해가고 있는데 말씀하신 부분 찾아보면서 모르는 점들 많이 배워갑니다..ㅎ 사용하는부분 전체에 적용이 가능할지 어떨런지는 모르겠지만요ㅠ
구매내역 다 털리셨나봄 😂
이 영상을 보고 코딩애플의 아이디를 찾아냈습니다
호신술 배우기 전에 상대방이 나의 어디를 어떻게 공격하는지 배우는 기분
우리교수님 앞으로 보안개론 3분틀어줄 영상 바꾸시겠네.
자바 백엔드강의 해주시면 조켓습니다..
보안영상이 ㄹㅇ 꿀잼
첫번째 짤 말도 겁나 웃긴데 티이라인데 티아라로 오타도 지리농ㅋㅋㅋ
이런식으로 쓰는군요. 경력이 제법 되는데 첨 알았네요;;;
하고있는 서비스는 고객정보같은걸 가진게 아니라서 db를 통채로 털어가봐야 아무 의미도 없지만... 그래도 프로시저와 orm을 쓰고 있어서 그나마 다행이었네요
잘 배우고 갑니다
저번에 있던 댓글 그대로 넣으셨네 ㅋㅋㅋ
예시가 너무 극단적이긴해도 ( 나만 그렇게 느끼나.. ) 항상 신경 써야 하는내용이죠.
주입식 교육 잘 봤습니다~ ㅋㅋㅋㅋ
주입식 에서 '주입' 의 영어인 injection 을 이용한 이중적 언어 유머 이시군요!!
아는만큼 보이는구나 ㄷㄷ
인풋 파라메터 파싱 없이 단순 문자열 포멧팅으로 쿼리문 날리는 식으로 되있나보네ㄷㄷ
db 방법이니 localStorage의 .setItem등등은 안 걸리겠죠?
@@user-yg7oz8fy6t 이해를 잘 못 했는데요,
확인이 아니라 저러한 공격 방식이 로컬스토리지에 저장하는 방식에서 문제가 될 만 한지, 아닌지 물어볼려 했습니다
프리페어드 스테이트먼트를 잘 사용하도록 합시다
이 영상보고 코딩애플님 유튜브 계정 탈취했습니다 감사합니다
3:17
수업때 괴수님이 설명해주신거 추억이노 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
그래서 보통 특문 제한을 걸어서 그냥 해결을 보죠
sql 인젝션 저거는 예전에 backtrack 쓸때 툴로도 나와있던데 어휴 그게언제야 ...
인젝션 방어 안한 사이드프로젝트가 얼마나 허수인지 실감이난다
이 영상덕분에 1억달러 인출 안당하고 막았습니다. 감사합니다.
ㅋㅋ 한참 웃고 갑니다
코딩애플 사랑해
가장 심플하지만 가장 위험한 공격
그러면 아이디에 특수문자를 못넣게하는 것도 예방중에 하나인걸까요
교육기관에서 이렇게만 가르쳤어도 ㅋㅋㅋㅋㅋㅋ
요즘도 쌩 sql문으로 쿼리하는 띨띨이들이 많나? 언제적 인젝션 문제인지
재밌어용
CSRF 공격도 알려주세여ㅠ
다음엔 CSRF, XSS, File Upload 가나욧
상단에 보안장비 있으면 대부분 막아주는데, 개판으로 만들고 보안장비가 자동으로 차단된거 풀어주세요. 이런분들 실제로 참 많습니다. 개답답..
헉..
귀여워.
인젝션 공격시도가 꿀렁꿀렁
지난주에 학교에서 sql 인젝션 주제로 발표했었는데.. 수행 쫌만 늦게하지ㅠㅠ
DB 삭제 할 수도 있다는 말에 저절로 헐 하게 되네...
이제 XSS랑 CSRF같은것들도 설명해주시면 됩니다
이거 치러 왔는데 젠장 늦었다...
최근에 prepared statement로 인해 거의 근절 가능한 기법이라고 들었는데, 다시 우회법이 생겼을까요?
요즘은 이 방법으로 거의 못뚫죠 ㅋㅋㅋ
Prepared statement bypass가 되는 경우는 프로그래머가 잘못짠 케이스밖에 없긴합니다 ㅋㅋ
order by에서 뚫리긴 한데 그건 화이트리스트 필터링 하면 못 뚫는다고 보면 됩니다
5:08 그 와중에 이름 존 스미스...코딩애플인데 과연 우연일까?ㅋㅋㅋ
하루히??
오 허술한 스캠들 털어먹는게... 오 진짜 유용한데
멋지다
IQ 추적 너무 무셔
와우... 아직 취준생이지만 SQL은 난 잘 못할것 같..다
상남자ㅋㅋㅋㅋ
형 감기 걸렸나보네, 감기약 먹고 쉬엄쉬엄 해
중국 비밀경찰인가 의심받던 동방명주 홈페이지가 sql인젝션으로 테이블 싸그리 드랍되고 난리났었더랬죠잉
ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋDB 안 쓰고 url에 다 저장하는 상남자 폼 미쳤다
그냥 벨리데이션에 막혀버림
유효성 검사에 따옴표나 저런 대쉬같은걸 허용을 안해서
5:12 😂😂😂
쟈밋당
컴공 지망생인데 해당 내용으로 생기부 써도 괜찮을까요? 고2입니당
어질어질하네
스프링은 prepared statement 쓰면 알아서 막힘.
정말 놀랍습니다.🎉
옛날에는 간간히 되었는데 요즘은 거의 안되어서 아쉽;;;;