코드 분석
pw에 값을 받아와 쿼리를 실행하지만 뒤의 "and 1=0"이라는 문자열이 추가되어 있어 조건문이 거짓으로 되게끔 만들어져 있다.
공격 기법
가장 기본적인 sql injection 주석 처리방법으로 우회할 수 있다.
?pw=' or id='admin' %23
%23 -> '#' -> 뒤의 문장 주석 처리
'Web > Lord of Sql injection' 카테고리의 다른 글
darkknight 문제 풀이 (0) | 2023.09.10 |
---|---|
golem 문제 풀이 (1) | 2023.09.09 |
vampire 문제 풀이 (0) | 2023.09.09 |
troll 문제 풀이 (0) | 2023.09.09 |
orge 문제 풀이 (0) | 2023.09.09 |