cerberus

첫 화면이다.

이전 문제들과 다르게 MongoDB를 사용한 문제이다. (NoSQL Injection)

id에 admin&pw[$ne] 를 넣은 셈이다.

$ne 는 != 과 동일한 기능을 하는 문자이다.

즉, 쿼리에서 비교시 논리적으로 pw=$_GET['pw'] 인 부분을 pw!=$_GET['pw'] 로 만들어 id는 admin이지만 pw의 값이 내가 입력한 값이 아닌 데이터를 불러오도록 조작한다.

Last updated 4 years ago