[SQL Injection] procedure analyze()

워게임을 풀다가 새롭게 알게된 명령 procedure analyze()를 간단하게 알아보겠습니다.

 

procedure analyse()는 해당 테이블을 분석하여 결과값을 가져오는 명령입니다.

 

기본구문

select * from tabletest procedure analyse();

 

기본구문을 실행하게 되면 tabletest의 정보를 모두 출력합니다.

 

위의 정보를 이용하면 table의 이름을 모르거나 limit를 이용한 blind 인젝션 등의 공격에 활용할 수 있습니다.

이 명령은 mysql, mariadb에서 사용할 수 있습니다.