OWASP WebGoat:String SQL Injection
Jump to navigation
Jump to search
String SQL Injection
L'objectif de cet exercice est d'afficher tous les numéros de cartes de crédit en exploitant le champ "Enter your last name".
Dans le fonctionnement normal de l'application, seuls les numéros de cartes associées au propriétaire (nom entré dans le champ "last name") sont affichés. La requête est du type suivant :
SELECT * FROM user_data WHERE last_name = 'Smith'
Afin d'afficher tous les enregistrements, il suffit de modifier la requête afin qu'elle devienne :
SELECT * FROM user_data WHERE last_name = 'Smith or '1'='1'
Pour ce faire, il suffit d'intercepter la requête à l'aide de WebScarab et de modifier le champ "account_name" comme suit :
L'exercice terminé :