728x90
카테고리를 선택할 시 쿼리문을 보여주고 하나 이상의 출시되지 않은 제품 즉, 숨겨진 제품을 표시하게 해달라고 나와있다.
웹사이트에서 Lifestyle 카테고리를 선택했더니 3개의 제품이 표시되었다.
나는 그래서 released = 1 이 부분을 주석처리하면 해결될 것 같아 ' -- 을 넣어봤다.
제품이 4개 로 늘어나서 문제가 풀린 줄 알았는데
Not solved로 문제가 풀리지 않았다.
released=0으로 넣어봤더니 출시되지 않은 제품만 표시되었지만 문제는 풀리지 않았다.
뭐지... 하면서 그냥 다 출력해 봐야겠다 하고 ' or 1=1-- 을 넣어봤더니
문제가 풀린것을 볼 수 있다.
음... 문제의 의도를 내가 잘못 해석한 건지 문제 오류인지는 모르겠지만
최종적으론 간단한 error based injection을 의도한 것 같다.
728x90
