The Vi
Về trang chủ
Nguyễn Dương Thế Vĩ
Nguyễn Dương Thế VĩTài khoản đã xác minh
21-3-2024

(A3) Injection - SQL Injection (Mitigation) - Webgoat

🐐 Bài viết này mình sẽ hướng dẫn các bạn làm phần (A3) SQL Injection - SQL Injection (Mitigation)

#webgoat
(A3) Injection - SQL Injection (Mitigation) - Webgoat

alt

1. Try it! Writing safe code 1

  • Ta lần lượt điền các từ sau để hoàn thành câu lệnh: getConnection, PreparedStatement, prepareStatement, ?, ?, setString, setString. Nhấn Submit:

alt

2. Try it! Writing safe code 2

  • Nhập đoạn code sau để kết nối với database và bấm Submit:
try{
Connection ct = null;
ct=DriverManager.getConnection (DBURL, DBUSER, DBPW);
PreparedStatement ps=ct.prepareStatement("select * from users where name=?"); ps.setString(1,"3");
ResultSet rs=ps.executeQuery();}
catch(Exception e)
{
System.out.println("PseudoTime");
}

alt

3. Input validation alone is not enough 1 !!

  • Ta nhập đoạn code sau và nhấn Get Account Info:
';/**/SELECT/**/*/**/FROM/**/user_system_data/**/WHERE/**/1/**/=/**/1;/**/--

alt

4. Input validation alone is not enough 2!!

  • Ta nhập đoạn code sau và nhấn Get Account Info:
';/**/SELSELECTECT/**/*/**/FRFROMOM/**/user_system_data/**/WHERE/**/1/**/=/**/1;/**/--

alt

5. IP address webgoat-prd server

  • Mở WebGoat trên trình duyệt của Burp Suite: Còn tiếp.....

Bài viết liên quan