글 상세보기

이건 normaltic2로 로그인하라고 나와있네요.

' and '1'='1 으로 sql 취약점이 있는지 알아보았고, 취약점은 있는걸로 확인되었습니다.

이번엔 식별 인증 분리는 아닌것 같군요.

뒤에 주석을 넣음으로써 패스워드는 의미가 없어졌습니다. 주석을 넣으면 그 뒤에 뭐가나오든 전송을 안합니다. 아이디만 보고 판단을 하는거죠. 결론은 식벽인증 동시라는 말입니다.

그러면 그상태로 아이디만 바꿔주면 이렇게 로그인에 성공하는 모습을 볼 수 있습니다.

이런걸 막을 방법은 ' # " 뭐 이런게 들어가면 다른 기호로 바꾸든가 아예 차단을 시켜버리면 공격을 대거 막을수 있겠군요.

노말틱 스터디(sql injection2)
normaltic 짝사랑남	2025-11-17 17:16:48
이건 normaltic2로 로그인하라고 나와있네요. ' and '1'='1 으로 sql 취약점이 있는지 알아보았고, 취약점은 있는걸로 확인되었습니다. 이번엔 식별 인증 분리는 아닌것 같군요. 뒤에 주석을 넣음으로써 패스워드는 의미가 없어졌습니다. 주석을 넣으면 그 뒤에 뭐가나오든 전송을 안합니다. 아이디만 보고 판단을 하는거죠. 결론은 식벽인증 동시라는 말입니다. 그러면 그상태로 아이디만 바꿔주면 이렇게 로그인에 성공하는 모습을 볼 수 있습니다. 이런걸 막을 방법은 ' # " 뭐 이런게 들어가면 다른 기호로 바꾸든가 아예 차단을 시켜버리면 공격을 대거 막을수 있겠군요.