자동화 스크립트 2 [WebGoat] Blind String SQL Injection 자동화 스크립트 문자열인 field name을 알아내는 Blind String SQL Injection 실습! 일단! 문자열의 길이를 알아내기 위해 문자열 길이를 추출하는 함수인 char_length() 함수를 사용했다. 101 and char_length(select name from pins where cc_number='4321432143214321') 답 저장용 변수 # name 길이만큼 반복하도록 설정 while(flag 2020. 10. 5. [WebGoat] Blind Numeric SQL Injection 자동화 스크립트 숫자로 구성된 pin 값을 알아내는 Blind Numeric SQL Injection 실습! 101 and (select pin from pins where cc_number='1111222233334444') > 10000; 과 같은 논리식을 던져서 돌아오는 응답으로 판단하는 공격! 따라서 해당 논리식을 이용해서 스크립트를 작성했다. 코드를 통해 WebGoat 로그인 및 세션 유지 후 Blind Numeric SQL Injection 페이지로 이동하여 해당 논리식을 입력하도록 했다. 답을 아예 모른다는 가정을 두고 초기값을 0으로 설정한 후 숫자를 증가 및 감소시키면서 pin 값을 찾은 후 추출하도록 작성했다. #pip install requests import requests #pip install .. 2020. 10. 5. 이전 1 다음
