WebGoat - blind string sql injection

WebGoat의 blind string sql injection 문제입니다.   blind numeric sql과 비슷하지만 이번에는 숫자가 아닌 string이다. pins 테이블에서 cc_number가 4321432143214321 인 name을 찾는 문제다. sql문으로 바꿔주면 101 and (SUBSTRING((select name from pins where cc_number=’4321432143214321’),1,1) > ‘?’)?에 알파벳 대소문자를 구분해 입력해보고값을 찾으면 1을 1씩 증가해서 문자열의 위치를 확인하면 된다.  먼저,name의 길이를 알기위해 101 and (SUBSTRING((select name from pins where cc_number=’43214321432143..

2024.07.11