2. Information Security37 웹해킹 7번 (webhacking old 7) 1. 공격 유형 : Sql Injection 2. 취약점 환경 : 파라미터('val')의 값을 조작하여 Sql Injection 수행 3. Write Up ㅇ 코드 해석 - $go 변수에 $_GET['val'] 파라미터 저장 - $go 변수에 2, -, +, from, _, =, \s, *, \ 등의 문자열 존재 시 Access Denied! 발생 - $db 변수에 dbconnet() 함수 선언 - $rand 변수에 rand 함수를 적용한 1~5의 랜덤 값 선언 - $rand 변수에 입력된 값에 따라 조건문 실행 - if($rand==1~5) { $result = mysqli_query($db, "select lv from chall7 where lv=($go)") or die ("nice try!!").. 2019. 10. 20. 이전 1 2 3 4 5 다음
