인프런 영문 브랜드 로고
인프런 영문 브랜드 로고

인프런 커뮤니티 질문&답변

wjsrhkdtn123님의 프로필 이미지
wjsrhkdtn123

작성한 질문수

웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩

[실습2-9] BLIND-BASED 공격을 통한 중요 정보 탈취 실습

존재하지 않는 게시글 입니다가 나옵니다.

작성

·

165

1

GET /insecure_website_20200729/index.php?page=view&idx=8%20and%20substring((select+jumin+from+customer_info+where+id='admin'),1,1)=8 

이럴 경우 존재하지 않는 게시글 입니다라고 나오는데 무엇이 잘 못 됬는지 잘 모르겠습니다.

답변 1

0

크리핵티브님의 프로필 이미지
크리핵티브
지식공유자

안녕하세요.

이 경우 쿼리에 대한 결과가 거짓이기 때문에 발생되는 상황인데,

첫 번째, select jumin from customer_info where id='admin' 첫 번째 문자가 8이 아닌 경우.

=> 위의 경우는 8이 맞기 때문에 이상이 없을 듯 합니다.

두 번째, 게시글 8번이 없는 경우

=> 게시글 idx가 8이 있는지 없는지 유/무 확인 후 존재하는 게시글을 대상으로 진행을 하시면 될 것 같습니다.

wjsrhkdtn123님의 프로필 이미지
wjsrhkdtn123

작성한 질문수

질문하기