WebGoat - A1 injection (Compromising Integrity with Query chaining)
oolongeya
·2021. 8. 27. 14:33
토비와 밥이 Smith보다 더 많은 돈을 버는 것 같다는 것을 방금 알았다.
월급을 바꿀 수 있다는 내용이 적혀있다.
기억하십시오: 귀하의 이름은 John Smith이고 현재 TAN은 3SL99A입니다.
주어진 정보를 입력해서 테이블을 확인해보자.
Employee Name에 참인 구문과 동시에 끝을 주석처리로 입력하면,
문제의 제목처럼 Query chaining 이 필요하다.
쿼리가 끝나는 부분에 ; 를 작성하여 뒤에 쿼리 문을 하나 더 넣을 수 있다.
Employee Name 부분에 작성을 하자.
1'; UPDATE EMPLOYEES SET SALARY = 99999 where LAST_NAME = 'Smith';--
끝은 주석 처리라서 TAN 값은 무엇이 와도 상관없다.
부자가 된 Smith
반응형
'네트워크, 웹 (Network & Web) > Wargame' 카테고리의 다른 글
| WebGoat - SQL injection (Union SQL injection) (0) | 2021.08.27 |
|---|---|
| WebGoat - A1 injection (Compromising Availability) (0) | 2021.08.27 |
| WebGoat - A1 injection (Compromising confidentiality with String SQL injection) (0) | 2021.08.27 |
| WebGoat - A1 injection (Numeric SQL injection) (0) | 2021.08.27 |
| WebGoat - A1 injection (String SQL injection) (0) | 2021.08.27 |
