실습 환경: BurfSuite, WebGoat
문제
공격자는 날씨 데이터를 볼 수 있다. 모든 지역 날씨 데이터를 표시하는 SQL 문자열을 삽입하여 공격을 시도한다.
풀이
처음에는 지역 기상 관측소를 콜롬비아로 설정하여 Go! 버튼을 클릭해보았다.
해당 결과를 보았을 때, 콜롬비아는 101이라는 번호로 설정되어 있는 것을 볼 수 있었다.
여기에서 BurfSuite를 사용하여 해당 구문을 변경할 수 있고, F12를 눌렀을 때 나오는 HTML 코드를 수정하여 모든 지역의 날씨 데이터를 확인할 수 있었다.
변경 후 실행 결과 모든 데이터를 확인할 수 있다.
결과
'Security > WebHacking' 카테고리의 다른 글
| [HackCTF Web] Input Check (295) | 2021.02.03 |
|---|---|
| [HackCTF Web] Time (is_numeric 함수) (466) | 2021.02.01 |
| [WebGoat] String SQL injection 풀이 (0) | 2020.09.10 |
| [Attack] CSRF(사이트 간 요청 위조, Cross-site request forgery) (0) | 2020.09.09 |
| [WebGoat] LAB: Stored XSS(Stage 1) 풀이 (0) | 2020.09.09 |