-
카테고리
-
세부 분야
보안
-
해결 여부
미해결
[실습3-4] 인증 우회 공격을 통한 타 사용자 게시글 무단 수정, 삭제 실습
22.08.10 01:14 작성 조회수 213
1
mysql에서 delete할때 삭제버튼 누르면 password 입력해서 삭제되잖아요.
delete from board where idx=8 and password='' or idx=8-- '
' or idx=8-- 를 패스워드에 넣어주면 idx=8 and password='' 무의미해지고 idx=8만 의미해지니까 idx=8인 게시판을 삭제해야되는거 아닌가요?
왜 글번호가 2번인 idx 게시물을 삭제할때 idx=8넣고 삭제하면 2가 삭제가 될까요?
모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1
[실습3-4] 인증 우회 공격을 통한 타 사용자 게시글 무단 수정, 삭제 실습
강의실 바로가기
답변을 작성해보세요.
0
크리핵티브
지식공유자2022.08.11
원래 서버 측 쿼리가 그렇게 작성이 되어 있다면 8번 게시글 삭제되는 것이 맞습니다.
그러나 현재 가상 환경의 소스코드 확인이 필요 할 듯 합니다.
공부를 위해 정답은 말씀드리지 않고,
action.php 소스코드를 확인해보면 그 이유를 알 수 있을 듯 합니다.
답변 1