• 카테고리

    질문 & 답변

  • 세부 분야

    보안

  • 해결 여부

    미해결

[실습3-4] 인증 우회 공격을 통한 타 사용자 게시글 무단 수정, 삭제 실습

22.08.10 01:14 작성 조회수 213

1

mysql에서 delete할때 삭제버튼 누르면 password 입력해서 삭제되잖아요.

delete from board where idx=8 and password='' or idx=8-- '

' or idx=8-- 를 패스워드에 넣어주면 idx=8 and password='' 무의미해지고 idx=8만 의미해지니까 idx=8인 게시판을 삭제해야되는거 아닌가요?

왜 글번호가 2번인 idx 게시물을 삭제할때 idx=8넣고 삭제하면 2가 삭제가 될까요?

 

course-thumbnail

모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1

[실습3-4] 인증 우회 공격을 통한 타 사용자 게시글 무단 수정, 삭제 실습

강의실 바로가기

답변 1

답변을 작성해보세요.

0

크리핵티브님의 프로필

크리핵티브

지식공유자

2022.08.11

원래 서버 측 쿼리가 그렇게 작성이 되어 있다면 8번 게시글 삭제되는 것이 맞습니다.

그러나 현재 가상 환경의 소스코드 확인이 필요 할 듯 합니다.

공부를 위해 정답은 말씀드리지 않고,

action.php 소스코드를 확인해보면 그 이유를 알 수 있을 듯 합니다.

이 글과 비슷한 Q&A