OWASP WebGoat:String SQL Injection

From aldeid
Jump to navigation Jump to search

String SQL Injection

L'objectif de cet exercice est d'afficher tous les numéros de cartes de crédit en exploitant le champ "Enter your last name".

Dans le fonctionnement normal de l'application, seuls les numéros de cartes associées au propriétaire (nom entré dans le champ "last name") sont affichés. La requête est du type suivant : 

SELECT * FROM user_data WHERE last_name = 'Smith'

Afin d'afficher tous les enregistrements, il suffit de modifier la requête afin qu'elle devienne : 

SELECT * FROM user_data WHERE last_name = 'Smith or '1'='1'

Pour ce faire, il suffit d'intercepter la requête à l'aide de WebScarab et de modifier le champ "account_name" comme suit :

L'exercice terminé :

Retrieved from "https://www.aldeid.com/w/index.php?title=OWASP_WebGoat:String_SQL_Injection&oldid=35422"