로그인 우회 접근 방법
1. 맨처음부터 admin' or'1'='1을 시도할경우 접근 로직이 망가질 수 있음
2. 아무거나 로그인 시도해보고 웹 패킷을 먼저 봐야함
3. 그 결과 302 리다이렉팅이 뜨면 응답헤더에서 location을 봐야한다.
4. dashboard.php는 다시 index.php로 보낸다는 사실을 알아야함
5. ey로 시작하거나 =로 끝나면 Base64일 확률이 높다. {가 ey로 변환됨
1번 퀴즈
1. 로그인 시도 실패했을때 보이는 쿠키값에 auth가 있음
2. auth를 디코딩해서 true값으로 다시 인코딩해서 백엔드로 보냄2번 퀴즈
1. 세션 아이디를 기준으로 인증함.
2. 로그인 실패시 index.php로 가고 성공시 dashboard.php로 감
3. sql injection test를 해볼 때 and를 넣는 이유는 항등원으로서 가설을 세우는 근거가 될 수 있기 때문임
4. and를 넣는 테스트가 아이디로 할 때는 차단되지만 비밀번호를 넣을 때는 차단되지 않음
5. WAF(Web Application Firewall)로 차단됨
6. '만넣을 때는 차단되는게 아니라 로그인 시 오류가 발생했다고 나옴
7. 'and'를 넣으면 차단되는게 보임.
8. 'and'와 'or'을 대신 할 문자 && || 로 우회하는 방법'노말틱 모의해킹' 카테고리의 다른 글
| [6주차 강의] SQL Injection 데이터 추출 (1) | 2025.05.14 |
|---|---|
| [5주차 과제] 현생에 치여서 조금 늦은 과제 풀이 (0) | 2025.05.13 |
| [5주차 강의] SQL Injection (2) | 2025.05.07 |
| [4주차 코칭] 로그인 우회 (1) | 2025.04.30 |
| [4주차 강의] 프록시 서버 활용하기 (1) | 2025.04.30 |