정보보안/모의해킹 실습
-
[PortSwiggerLAB-apprentice] SQL injection정보보안/모의해킹 실습 2023. 3. 28. 17:26
그동안 배웠던 모의해킹을 까먹지 않기위해 PortSwigger에서 하루에 몇문제씩 풀어보기로! Academy LAB에는 APPRENTICE-PRACTITIONER-EXPERT 단계별 문제가 있다. 차근차근 풀어보도록 하자! 우선은 Apprentice 단계부터 LAB 1. 문제 설명. 카테고리를 선택하면 박스 안의 형식으로 쿼리가 전달된다고 함. 실습 페이지를 보자 제일 먼저 보이는 카테고리들. 그중 아무거나 선택해보니 URL에 아래와 같이 URI가 그대로 노출되어 있다. 카테고리에 관계없이 모든 상품이 노출되도록 URI를 조작하면 끝! LAB 2. 로그인 기능에 취약점이 있고 공격을 통해 관리자 계정으로 로그인을 해보라고 친절하게 알려준다.