웹/SQLi
from 절에서 Injection으로 데이터 추출
범고래_1
2018. 7. 28. 02:29
select no, id from table
뭐 대충 이런 쿼리다 치고, table 부분에 인젝션이 가능하다고 하면 아래와 같은 쿼리로 데이터를 뽑아올 수 있다. (서브쿼리 이용)
select no, id from (select no, pw id from table) a
서브쿼리의 결과도 테이블이므로, 이 테이블을 대상으로 select 하는 것 같다.
alias는 테이블명 맞춰주기 위한 것이고
관련 문제 : http://websec.fr/level11/index.php
신기방기~