문제
풀이
보통 SQLI 취약점을 탐색하기 위해 첫 번째로 ' 또는 "를 넣어 테스트한다.
틀렸다고 나온다.
이번엔 "(쌍따옴표)
쌍따옴표를 넣으니 서버 에러가 출력되었다. 이는 서버에서 "를 query에 넣어 처리한다는 의미이다.
여기에 DB에서 주석을 의미하는 --을 붙여 넣는다.
그러면 패스워드 검증 부분이 주석처리되어 아이디만을 가지고도 로그인이 가능해진다.
안녕하세요
보통 SQLI 취약점을 탐색하기 위해 첫 번째로 ' 또는 "를 넣어 테스트한다.
틀렸다고 나온다.
이번엔 "(쌍따옴표)
쌍따옴표를 넣으니 서버 에러가 출력되었다. 이는 서버에서 "를 query에 넣어 처리한다는 의미이다.
여기에 DB에서 주석을 의미하는 --을 붙여 넣는다.
그러면 패스워드 검증 부분이 주석처리되어 아이디만을 가지고도 로그인이 가능해진다.