실행환경: burf suite, WebGoat
문제
SQL injection attacks은 모든 데이터베이스 기반 사이트에 심각한 위협이 된다.
해당 문제는 사용자가 자신의 신용 카드 번호를 확인할 수 있다. 모든 신용 카드 번호가 표시되도록 SQL 문자열을 삽입한다.
풀이
이름을 입력하는 부분에 먼저 Smith만 검색하여 어떻게 SQL 질의문이 작동되는지 살펴보았다.
Smith 뿐만 아니라 모든 사용자의 정보를 알기 위해서 해당 질의문에 Where절이 항상 참이 되도록 문자열을 삽입해보았다.
Smith'or'1'='1
그 결과 모든 사용자의 카드번호를 확인할 수 있었다.
'Security > WebHacking' 카테고리의 다른 글
| [HackCTF Web] Time (is_numeric 함수) (466) | 2021.02.01 |
|---|---|
| [WebGoat] Numeric SQL injection 풀이 (0) | 2020.09.10 |
| [Attack] CSRF(사이트 간 요청 위조, Cross-site request forgery) (0) | 2020.09.09 |
| [WebGoat] LAB: Stored XSS(Stage 1) 풀이 (0) | 2020.09.09 |
| [WebGoat] Stored XSS Attacks 정의 및 문제 풀이 (0) | 2020.09.09 |