SQL-Injection

Oracle CTXSYS.DRITHSX.SN 함수로 DRG-11701 에러 메시지에 서브쿼리 결과 노출, ROWNUM으로 순차 추출·LISTAGG로 일괄 추출, MySQL extractvalue/updatexml 함수와 concat(0x3a, …) 패턴, LIMIT 순차 추출, 에러 메시지 노출 차단이 핵심 방어 전략

주석 처리·OR 조건으로 Oracle 인증 우회, Union-based SQLi로 Oracle(user_tables)/MySQL(information_schema)/SQLite(sqlite_master) 순차 데이터 탈취, Boolean-based Blind SQLi에서 length()·substr()·ascii() 이진탐색으로 DB 사용자명 추출, DBMS별 메타데이터·주석·자료형 차이 비교

웹 애플리케이션 3계층 구조(웹 서버·WAS·DB), HTTP Stateless 특성과 Session/Cookie 상태 관리, URL/Base64/HTML 인코딩, SOP·CORS 브라우저 보안 정책, Oracle 사용자 생성(richman), SQL SELECT 기초, SQL Injection 인증 우회 원리(OR 조건·주석 처리)

OWASP Top 10 취약점 공격 시나리오 심화, SOC 관점 웹 공격 단계별 탐지 포인트, WAF ModSecurity 룰셋, 웹 보안 점검 체크리스트 정리