Blind SQL Injection 공격

저번에 SQL Injection 공격을 설명드렸습니다.

 

SQL Injection 공격 : https://poci.tistory.com/49

SQL Injection 공격

Blind SQL Injection 공격은 SQL 문을 이용해서 서버에 접근해 정보를 빼오는 것이라는 점에서 SQL Injection 공격과 비슷합니다.

 

그러나 SQL Injection 공격은 SQL문을 보냄으로써 정보를 한번에 얻어낼 수 있지만,

Blind SQL Injection 공격은 SQL문을 보냄으로써 서버의 참과 거짓의 반응으로 정보를 얻는 기술입니다.

 

SQL 문의 결과가 참일 때

SQL 문의 결과가 거짓일 때

이렇게 여러 질문을 던진 후 참인 결과만 조합해서 원하는 정보를 빼내는 기술입니다.

 

물론 이렇게 질문을 많이 던지기 때문에 노가다를 좀 해야하고, 많은 SQL 문을 전송하기 때문에 해킹을 했다는 흔적이 많이 남습니다.

 

그래서 대부분의 해커들은 파이썬을 이용해서 자동화로 SQL문을 던지는 프로그램을 만들어서 사용합니다.