knakan3 https://blog.hatena.ne.jp/knakan3/ カナカンブログ https://knakan3.hatenadiary.org/ 前日、サイバーディフェンス研究所のZONE-Hハッキングセミナーを受講した。 用意されたWEBサイトに接続すると、ボス(？)からの指令が。 // ログインしないと参照できない情報に、何とかしてアクセスし、たれ込んだ人物を特定せよ。 //というような内容。どうやらSQLインジェクションを使えば、中の情報が参照できそうだ。クエリストリングのあるパラメーターにシングルクォートを入れてみる。エラーだ。なるほどMSSQLを使ってるな。これでSQLを連結する際、復文の使用にセミコロン等は必要ないことがわかった。さて、次はこのページで使用されているSQLの全体像をつかまなければ。HAVING 1=1を使う。… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fknakan3.hatenadiary.org%2Fentry%2F20090521" title="ハッキングセミナー - カナカンブログ" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2009-05-21 00:00:00 rich https://knakan3.hatenadiary.org/entry/20090521 1.0 100%