개발 진행시 부주의로 인해 불필요한 문자를 허용하고 있다. 문자와 응용 프로그램에 전달되는 의미를 다룬다.
| 문자 | 세부사항 |
| NULL or null | 종종 웹 응용 프로그램으로 흥미있는 오류 메시지를 볼 수 있다. PL/SQL 경우 확인할 수 있다. |
| ( ', ";, <!) | SQL, XPath 그리고 XML Injection 테스트에 사용되는 SQL 문자열 또는 쿼리에 사용된다. |
| (-, =, +, ") | 고급 SQL Injection 쿼리에 사용된다. |
| ( ', &,! , |, <,>) | 명령 실행 취약성을 발견하는 데 사용된다. |
| "><script>alert(1)</script> | 기본적인 Cross-Site Scripting 점검에 사용된다. |
| {%0d , %0a} | Carriage Return Line Feed (새줄); 모든 특수 기능. |
| {%7f , %ff} | 바이트 길이 오버플로우, 최대 7-8 비트 값. |
| {-1, other} | 정수 및 언더플로우 취약점. |
| Ax1024 + | 오버플로우 취약점. |
| {%n , %x , %s} | 포맷 스트링 취약점. |
| .. / | 디렉토리 탐색 취약점. |
| (%, _, *) | 와일드카드 문자는 가끔 DoS 문제 또는 정보의 공개를 표시할 수 있다. |
이러한 문자는 다양한 방법(즉, 유니코드)으로 표현할 수 있다. 이러한 문자 집합에 입력을 제한할 때 이해하는 것이 중요합니다.
728x90
댓글