- picoCTF 'More SQLi' 챌린지는 SQL 인젝션을 통해 로그인 필드를 우회하여 플래그를 획득하는 것이 목표입니다. 🔓
- 대상 쿼리는
password필드가username필드보다 먼저 처리되는 구조를 가집니다. 🔑 - 핵심 페이로드는
' OR 1=1 --이며, 이를 비밀번호 필드에 삽입하여 사용합니다. 💥 - 페이로드의 첫 번째 작은따옴표(
')는 원래 비밀번호 문자열을 닫는 역할을 합니다. 🚪 OR 1=1부분은 항상 참인 조건을 만들어 전체 인증 쿼리를 참으로 만듭니다. ✅--(두 개의 대시)는 SQL에서 주석을 의미하며, 그 뒤의 모든 쿼리 부분을 무효화합니다. 📝- 초기 로그인 시 플래그가 보이지 않아, Burp Suite를 사용하여 HTTP 응답에서 플래그를 가로채야 했습니다. 🕵️
- 이 공격은 SQL의 논리 연산자(
OR)와 주석 처리(--) 기능을 악용하여 인증 로직을 우회하는 원리를 보여줍니다. 🧠
Recommanded Videos
Empowering Vue Apps with AI | VueConf US 2024
2024. 8. 8.
'비전공자도 이해할 수 있는 AWS 중급(보안, 가용성편)' 강의 오픈!
2025. 4. 2.
Bring 3D assets into your 2D project with Unity 6.3 LTS's new workflow!
2025. 12. 4.
Build Full Stack Social Media App in React Native #10 - Notifications
2024. 8. 27.
GitHub Copilot Tutorial | How useful is it for Cloud and DevOps?
2024. 3. 27.
Solving the one thing that keeps me up at night (in software dev)
2025. 11. 2.