정보보안기사 제1회 60번

From CS Wiki

과목: 어플리케이션 보안

문제[edit | edit source]

60. 다음은 웹 서비스에 대한 SQL Injection 공격에 대한 내용이다. 아래 내용을 분석할 때 공격자가 알 수 있는 정보가 아닌 것은?

[SQL Injection]
/read.asp?id=10 UNION SELECT TOP 1
login_name FROM admin_login--
[Error Message]
Microsoft OLE DB Provider for ODBC Drivers
error ‘80040e08’
[Microsoft][ODBC SQL Server Driver][SQL Server]
Syntax error converting the nvarchar value
“k_test” to a column of data type int.
/read.asp. line 5

  • ① 피해시스템은 MS SQL을 데이터베이스로 사용하고 있다.
  • ② admin_login에 k_test라는 계정이 있는 것을 알 수 있다.
  • ③ read.asp의 id 파라미터에 SQL Injection 취약점이 존재한다.
  • ④ admin_login 테이블의 login_name 컬럼의 data type은 nvarchar 타입이다.

풀어보기[edit | edit source]

정답[edit | edit source]

  • 2번

해설[edit | edit source]

같이 보기[edit | edit source]