WebGoat攻略 for Mac(2)

WebGoat攻略 for Mac(1)

WebGoat攻略 for Mac(2)

  • 一、题目攻略
    • A1.Injection(注入)
      • 1、SQL注入(简介)
      • 2、SQL注入(高级)
      • 3、SQL注入(缓解)
      • 4、路径遍历

一、题目攻略

A1.Injection(注入)

1、SQL注入(简介)

  1. 什么是SQL?

任务是查询Bob所在的部门。
WebGoat攻略 for Mac(2)_第1张图片
按照下图输入SQL的查询语句。
在这里插入图片描述

SELECT department FROM employees WHERE first_name = 'Bob' AND last_name = 'Franco'

任务完成。
WebGoat攻略 for Mac(2)_第2张图片
2. 数据操作语言(DML)

任务是把Tobi的部门改为销售。
WebGoat攻略 for Mac(2)_第3张图片
按照下图输入SQL命令。

在这里插入图片描述

UPDATE employees SET department = 'Sales' WHERE first_name = 'Tobi' AND last_name = 'Barnett'

任务完成。
WebGoat攻略 for Mac(2)_第4张图片

  1. 数据定义语言(DDL)

任务是在员工表中添加电话列。
在这里插入图片描述
按照下图输入SQL命令。
在这里插入图片描述

ALTER TABLE employees ADD phone varchar(20)

完成任务。
WebGoat攻略 for Mac(2)_第5张图片

  1. 数据控制语言(DCL)

授予用户组“未经授权用户”更改表的权利。
在这里插入图片描述
按照下图输入SQL命令。
在这里插入图片描述

GRANT ALTER TABLE TO UnauthorizedUser

完成任务。
WebGoat攻略 for Mac(2)_第6张图片

  1. 尝试字符串SQL注入

任务是从用户表中检索所有用户。
WebGoat攻略 for Mac(2)_第7张图片
观察原命令可以看到" ***** last_name = ‘" + lastname + " ’ ",也就是说假如用户输入a,则命令行为: ********last_name = ‘a’。而我们的目标是使命令行变为:********last_name = ‘a’ OR ‘1’ = ‘1’,所以我们需要输入:a‘ OR ’1‘ = ’1。
分别选择:Smith’,or,‘1’ = '1,任务完成。
WebGoat攻略 for Mac(2)_第8张图片

你可能感兴趣的:(安全,网络安全,信息安全)