這題是一個很基本的SQL字串查詢語句的練習。 首先我試著輸入自己的名字,可以看見下方的SQL語句最後單引號內會變成我們輸入的字串。
Continue reading這題要我們嘗試「看起來」用admin的身份成功登入,下方灰色的區塊就是伺服器記錄檔的內容。 廢話不多說,先嘗試登入看看。
Continue reading這題題目擺明就是要我們攔截Session加以分析,若Session長度或複雜度不夠,可以藉由分析伺服器回傳的Session來找出Session的規律,進而找到伺服器發給其他人使用的Session並偽裝成其他人登入。
Continue reading這題也是HTML網頁中常見的select表單,但下方特別寫出了後端呼叫資料庫的SQL語句。
Continue reading這是有關Injection部分的第一關,題目的要求很簡單,提供一個HTML select的form,要我們想辦法把command注入伺服器的系統。
Continue reading