[Webhacking.kr] 21번 문제(old)

여덟번째 글. 친절하게 Blind SQL Injection(이하 Blind Injection)이라고 써있다. Blind Injection이란 쿼리의 결과를 참과 거짓만으로 나타내서 DB의 정보를 알아내는 Injection 공격 방법이다. guest / guest로 입력을 했을 때 정상적으로 로그인이 되는것을 볼 수 있다. 너무나 당연한 이야기지만 admin / admin으로 했을 떄는 로그인이 되지않고 login fail이 뜬다. 여기서 간단한 Blind Injection을 해 보겠다. 이렇게 admin' or '1=2 / 1234 이렇게 넣어줬다(혹시나 해서 확인차 admin계정이 있는지 확인해 보았다) 그결과는 wrong password라고 뜬다. 여기서 유추할 수 있는 것은 login fail이 f..
writeup/webhacking.kr 2020. 8. 4. 11:14
1