webhacking.kr 57번1 webhacking.kr 57번 Webhacking.kr#57[Time-Based SQL Injection] 57번 문제를 열면 아래와 같은 화면을 볼 수 있다. 소스코드를 보면, 필터링 되는 문자열 또한 알 수 있다. 이 때 필터링 대상을 보면 흔히 나타나지 않았던 benchmark가 존재하는 것을 볼 수 있다. Mysql manual 페이지를 보면 benchmark는 expression이나 function의 속도를 측정할 때 이용한다는 것을 알 수 있다. Benchmark는 필터링 되어 사용할 수 없지만, 여기서 Time-Based SQL Injection이 가능하겠다는 추측을 할 수 있다. 출처: https://dev.mysql.com/doc/refman/5.5/en/select-benchmarking.html 예를 들면, pw의.. 2019. 2. 1. 이전 1 다음