Wir haben ein Szenario mit einem Anmeldeformular behandelt, das anfällig für SQL-Injection-Schwachstellen ist. Mithilfe des Quellcodes konnten wir eine Möglichkeit finden, die nach dem Absenden des Formulars an die Datenbank gesendete SQL-Abfrage anzuzeigen. Wir haben festgestellt, dass die Anwendung die SQL-Abfrage in Anführungszeichen einschließt. Mit diesen Informationen in der Hand haben wir versucht, das Formular mit manuellen SQL-Injection-Nutzdaten zu injizieren und sie in Anführungszeichen einzuschließen, was zu einer erfolgreichen Anmeldung führte. Dies war Teil von OverTheWire Kriegsspiele Natas Level 14
Holen Sie sich Hinweise zum OSCP-Zertifikat
Natas Level 15 Level-Passwort:
TTkaI7AWG4iDERzBcEyKV7kRXH1EZRB
Video-Komplettlösung
Anmerkungen anzeigen