SQLInjection 3

SQL 인젝션 실습 2편 - DVWA Low 레벨 공격

들어가며환경 구성이 끝났으니 본격적으로 SQL 인젝션 공격을 진행했다. Low 레벨은 입력값 검증이 전혀 없어서 가장 기본적인 공격 기법을 그대로 사용할 수 있다. 에러 확인부터 DB 전체 정보 추출까지 단계별로 진행해봤다.환경 구성 글: SQL 인젝션 실습 1편 - DVWA 환경 구성1. 정상 동작 확인SQL Injection 메뉴에서 User ID 입력창에 1 입력 후 Submit.결과:ID: 1First name: adminSurname: admin내부적으로 실행된 쿼리:SELECT * FROM users WHERE id = '1'정상적으로 DB에서 ID 1번 사용자를 조회해서 출력하는 것을 확인.2. SQL 에러 확인 (인젝션 가능 여부 판단)입력창에 1' (작은따옴표 추가) 입력 후 Submit..

SQL 인젝션 실습 1편 - DVWA 환경 구성 (Docker)

들어가며SQL 인젝션 개념 글에서 원리를 정리했는데, 직접 실습해보고 싶어서 DVWA를 Docker로 띄워봤다. 버퍼 오버플로우 실습 때처럼 Docker를 활용하면 내 PC에 영향 없이 취약한 환경을 만들 수 있다. 생각보다 환경 구성이 간단해서 금방 실습까지 들어갈 수 있었다.⚠️ 주의: DVWA는 의도적으로 취약하게 만들어진 실습용 애플리케이션이다. 반드시 로컬 환경에서만 사용하고 인터넷에 노출되는 서버에는 절대 올리지 말 것.SQL 인젝션 개념 글: CWE-89: SQL 인젝션 완전 정리1. DVWA란?Damn Vulnerable Web Application의 줄임말→ 의도적으로 취약하게 만들어진 웹 애플리케이션목적:→ SQL 인젝션, XSS, CSRF, Command 인젝션 등 다양한 웹 취약점..

[OWASP Top 10:2025 - A05] CWE-89: SQL 인젝션 완전 정리 - 원리부터 실무 탐지까지

들어가며SQL 인젝션은 OWASP Top 10에서 2013년부터 꾸준히 상위권을 차지하고 있는 웹 취약점이다. 2021년까지 3위(A03)였다가 2025년에 5위(A05)로 내려갔지만, 순위가 낮아진 게 덜 위험해진 게 아니라 다른 위협들이 더 많이 발견됐기 때문이다. "가장 오래됐고 가장 잘 알려진 취약점"이지만 여전히 실제 공격에서 가장 많이 발견된다. 그만큼 개발자 교육도 많이 됐는데 왜 아직도 이렇게 자주 터지는지, 원리부터 실무 탐지까지 정리해봤다.1. SQL 인젝션이란?사용자 입력값이 SQL 쿼리의 일부로 그대로 삽입되어, 공격자가 개발자가 의도하지 않은 쿼리를 실행시킬 수 있는 취약점이다.2. 취약점 개요 항목 내용 CWE 번호CWE-89 (Improper Neutralization of ..