- picoCTF의 SQLiLite 챌린지는 로그인 필드를 우회하여 숨겨진 플래그를 찾는 것이 목표입니다. 🚩
- 로그인 실패 시 노출되는 쿼리(
SELECT * FROM users WHERE name='[username]' AND password='[password]')를 분석하여 SQL 인젝션 취약점을 파악할 수 있습니다. 🔍 admin'--페이로드를 사용하여name` 필드를 닫고 나머지 쿼리(비밀번호 검증 포함)를 주석 처리함으로써, 유효한 사용자 이름만으로 로그인에 성공할 수 있습니다. 📝- 로그인 성공 후, 플래그는 웹페이지의 소스 코드 내 숨겨진(hidden) HTML 필드에 위치해 있었습니다. 🕵️
- 사용자 이름이나 비밀번호를 모를 때,
' OR 1=1--페이로드를 사용하여OR 1=1조건이 항상 참이 되도록 만들어 로그인 인증을 우회할 수 있습니다. 🔓 - 이 비디오에서 사용된 것 외에도 수많은 SQL 인젝션 페이로드들이 존재하며, GitHub 등에서 다양한 예시를 찾아볼 수 있습니다. 📚
- 이 챌린지는 웹 애플리케이션의 취약점(특히 SQL 인젝션)을 이해하고 악용하는 방법을 배우는 데 유용합니다. 💡
Recommanded Videos
