STAGE 1
계정 ID를 주어주고, salary를 더 높게 조작하라고 한다.
우선 101의 급여를 보자. 55000이라고 되어 있다.
input tag에 길이 제한을 두지 않으면, 다음과 같이 원하는 쿼리를 넣을 수 있다.
101; update employee set salary=2000000 where userid=101이라고 입력했다.
101 계정의 정보를 탐색한 후 그 계정의 UPDATE 구문으로 salary를 200만으로 올린다.
STAGE 2
이번엔 TRIGGER를 만드는 쿼리를 넣으라고 한다.
아까처럼 넣으면 된다.
참고로 저 구문은, 이 테이블에 update 사항이 생길 때마다 해당 user의 email을 john@hackme.com으로 변경시키는 구문이다.
TRIGGER가 삽입되며, Clear 된다.
'[Wargame Write-up] > WebGoat' 카테고리의 다른 글
| [WebGoat] [Improper Error Handling] Fail Open Authentication Scheme (0) | 2016.11.15 |
|---|---|
| [WebGoat] [Injection Flaws] Command Injection (0) | 2016.10.27 |
| [WebGoat] [Injection Flaws] String SQL Injection (0) | 2016.10.27 |
| [WebGoat] [Injection Flaws] Numeric SQL Injection (0) | 2016.10.27 |
| [WebGoat] [Cross-Site Scripting (XSS)] Cross Site Request Forgery (CSRF) (0) | 2016.10.25 |
