[WebGoat] Numeric SQL injection 풀이

실습 환경: BurfSuite, WebGoat

 

 

문제

공격자는 날씨 데이터를 볼 수 있다. 모든 지역 날씨 데이터를 표시하는 SQL 문자열을 삽입하여 공격을 시도한다.

 

 

풀이

처음에는 지역 기상 관측소를 콜롬비아로 설정하여 Go! 버튼을 클릭해보았다.

 

해당 결과를 보았을 때, 콜롬비아는 101이라는 번호로 설정되어 있는 것을 볼 수 있었다.

 

여기에서 BurfSuite를 사용하여 해당 구문을 변경할 수 있고, F12를 눌렀을 때 나오는 HTML 코드를 수정하여 모든 지역의 날씨 데이터를 확인할 수 있었다.

 

변경 후 실행 결과 모든 데이터를 확인할 수 있다.

 

 

결과