고정 헤더 영역
상세 컨텐츠
본문
SQL Injection(DVWA - Medium)
1. Medium단계는 GUI로 변경해서 Form형태가 아닌 파라미터를 선택할 수 있는 형택인데 BurpSuite로 인터셉트하여 파라미터를 조작하면 쉽게 해킹이 가능하다. 하지만 소스코드를 보면 작은따옴표가 아닌 숫자 형태로 받기 때문에 Low단계와 다르게 작은따옴표 없이 파라미터를 조작해야 한다.
SQL Injection(DVWA - High)
1. High단계도 GUI로 되어 있는데 소스코드를 보면 LIMIT 1이 있는데 LIMIT 1은 출력을 하나로 정한다. 하지만 MySQL에서 #을 주게 되면 주석 처리되므로 맨 마지막에 #을 붙이면 쉽게 우회가 가능하다.
'Hacking > Web Hacking' 카테고리의 다른 글
| 10-2.XSS(DVWA - Medium,High) (0) | 2020.02.07 |
|---|---|
| 10-1.XSS(DVWA - Low) (0) | 2020.02.07 |
| 9-2.SQL Blind Injection(DVWA - Low) (0) | 2020.02.01 |
| 9-1.SQL Injection(DVWA - Low) (0) | 2020.01.31 |
| 8-2.CAPTCHA ATTACK(DVWA - High) (0) | 2020.01.27 |
댓글 영역