GRINI

보호되어 있는 글입니다.

Blind SQL Injection 문제이다. Blind SQL Injection이란? DB에 true 또는 false를 묻고 그에 따른 응용 프로그램의 응답을 파악해 공격하는 기법 [참고 사이트] https://www.owasp.org/index.php/Blind_SQL_Injection 우선, 페이지가 값에 따라 어떻게 반응하는지를 살펴보아야 한다. admin을 입력해 제출버튼을 눌리니 아래와 같은 결과가 나왔다. 입력하는 칸은 no 값으로 전송된다. no는 숫자이기 때문에 숫자를 입력해 제출해보았다. 여러 숫자를 넣어 결과를 확인해보았다. no 1, 2일 경우 True 나머지 숫자 False 결과를 보면 no의 값은 1과 2만 존재한다고 생각할 수 있다. no=1, no=2가 각각 어떤 id와 pw..

time limit : 2 라고 되어 있는 것을 보니 2초 내에 모든 값을 입력해서 넣어주어야 하는 것 같다.우선, 소스 코드를 보자. submit 버튼을 클릭하면 ck함수가 호출된다. ck함수를 해석해보면,모든 입력란에 값이 있어야하고, code의 값과 attackme의 값이 동일해야 한다.(보안 코드 같은 개념) 일단 값 되돌아가서 빠르게 2초 내에 값을 다 입력하는 것을 시도해보았다.하지만,불.가.능.역시,, 될리가 없다.. 아주 유용한 도구인 개발자 도구를 이용하기로 하였다.Console 창을 이용하여 아래와 같이 값을 대입해주는 소스 코드를 작성하여 입력해주었다.이 때, 중요한 점은 code의 값을 attackme의 값으로 설정해주어야 한다. submit함수를 호출하는 것까지 소스 코드에 구현되..