[DIVA] 7. Input Validation Issues - Part 1 (SQLite Database, SQLi)

DIVA

diva 어플리케이션의 7. Input Validation Issues이며 user name을 입력하여 검색할 수 있는 폼이 존재한다.

 

admin을 입력하면 관련 정보가 출력되어진다.

 

디컴파일

소스코드를 확인해보면 SQLite 데이터베이스를 사용하며 sqliuser 테이블에 입력받은 값을 그대로 쿼리로 사용되어 진다.

 

Sqli

입력 폼에 아래의 페이로드를 수행할 시 sqliuser 테이블에 있는 모든 사용자 정보가 출력된다.

' or '1