-
SQL Injection2동아리/23 - 2 2023. 9. 19. 10:29
출제 의도 : 특정문자 필터링
SQL Injection 2번 문제이다
문제의 힌트는 NO~~ NO~~ 이다
간단하게 로그인을 시도해보았다
이 문제의 SQL 에는 큰따옴표를 사용함을 알 수 있다
아이디에 큰따옴표를 입력하고 로그인을 시도하니 에러가 발생했다
내가 입력한값이 SQL 에 정상적으로 반영된다
아이디에 or 을 입력하고 로그인을 시도하니 or이 NO로 바뀌면서 로그인에 실패했다
로그인과정에서 or 문자가 있으면 검증과정을 거쳐 NO로 바꾸는듯 하다
하지만 블랙리스트 기반의 검증과정에는 한계가 있어서 or을 대문자 OR로 시도하니 SQL Injection에 성공했다
+ 추가적으로 #을 사용해 주석처리가 가능하다
728x90'동아리 > 23 - 2' 카테고리의 다른 글
SQL Injection1 (0) 2023.09.19 문수공학제 - BITB를 이용하여 피싱사이트 제작하기 (0) 2023.09.10 2학기 활동 계획 (0) 2023.08.17