정보보안기사 제1회 60번
From CS Wiki
과목: 어플리케이션 보안
문제[edit | edit source]
60. 다음은 웹 서비스에 대한 SQL Injection 공격에 대한 내용이다. 아래 내용을 분석할 때 공격자가 알 수 있는 정보가 아닌 것은?
[SQL Injection]
/read.asp?id=10 UNION SELECT TOP 1
login_name FROM admin_login--
[Error Message]
Microsoft OLE DB Provider for ODBC Drivers
error ‘80040e08’
[Microsoft][ODBC SQL Server Driver][SQL Server]
Syntax error converting the nvarchar value
“k_test” to a column of data type int.
/read.asp. line 5
- ① 피해시스템은 MS SQL을 데이터베이스로 사용하고 있다.
- ② admin_login에 k_test라는 계정이 있는 것을 알 수 있다.
- ③ read.asp의 id 파라미터에 SQL Injection 취약점이 존재한다.
- ④ admin_login 테이블의 login_name 컬럼의 data type은 nvarchar 타입이다.
풀어보기[edit | edit source]
정답[edit | edit source]
- 2번