WebGoat - stage 1 string sql injection

WebGoat에서 sql injection 분야의 stage1 string sql injection 문제입니다.

 

문제

 

 

 

sql 문자열을 삽입해서 인증을 우회하는 문제다.

성공의 조건은

(1) 올바른 비밀번호를 사용하지 않아야 하고,

(2) Neville로 로그인을 해야 하며

(3) 결과적으로 neville의 프로필을 확인하고 모든 기능을 사용할 수 있어야 한다.

 

 

 

neville은 맨 아래에 존재한다.

neville

 

 

 

' or '1'='1 을 입력했는데 로그인에 실패했다.

'or'1'='1

 

 

 

모를땐 개발자 도구 ~~~

password와 관련된 부분만 보면 될 것 같아서 검색했더니

 

maxlength="8"

최대 8글자까지 입력할 수 있다는 뜻이다.

 

이 문자열 전체를 지우고

다시 ' or '1' = '1 을 입력했더니

성공했다 ^!^