لقد قمنا بتغطية سيناريو نموذج تسجيل الدخول المعرض لثغرة أمنية في حقن SQL. سمح لنا الكود المصدري بإيجاد طريقة لعرض وإظهار استعلام SQL المرسل إلى قاعدة البيانات بعد إرسال النموذج. اكتشفنا أن التطبيق يرفق استعلام SQL بعلامات اقتباس مزدوجة. مع وجود هذه المعلومات في متناول اليد، حاولنا إدخال النموذج بحمولات حقن SQL اليدوية مع إرفاقها بعلامات اقتباس مزدوجة مما أدى إلى تسجيل الدخول بنجاح. كان هذا جزءًا من ألعاب الحرب OverTheWire Natas المستوى 14
كلمة مرور المستوى 15 من Natas:
TTkaI7AWG4iDERzBcEyKV7kRXH1EZRB
تجول الفيديو
عرض التعليقات