CTFのためのSQLインジェクション

SQLインジェクションとは

「SQL注入(SQL injection)」は、パラメータを埋め込んでSQL文を組み立てる場合、そのパラメータに特殊記号(記号)を含ませたSQLコマンドを与えることによって、データベースの不正操作が可能となってしまう問題である。
引用:IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第6章 入力・注入対策:SQL注入攻撃: #1 実装における対策

ソフトウェアが外部からの入力内容を上位コンポーネントを通じて使用し、その内容からSQLコマンドを構築している場合において、意図しているSQLコマンドを改ざんできてしまう特殊な要素を、適切に無効化せずに下位コンポーネントに送信する際に発生する脆弱性です。
引用:CWE-89

ksnctfのQ6をSQLインジェクションで解く

ksnctf - 6 Login

  • ログイン画面が出てくるが、開発者ツールでHTMLやネットワークを見る限り手がかりがない
  • ログイン画面にSQLインジェクションを仕掛ける
続きを読む