nessie

첫 화면이다.

이전 문제들과 다르게 MS SQL을 사용한 문제이다.

MS SQL에서는 varchar 값과 int 값을 비교하면 그 과정에서 varchar 값을 int 값으로 변환하도록 시도하는데 에러 메시지에 해당 값이 그대로 노출된다.

즉, id에 admin' and pw=1-- 를 넣으면 아래와 같이 pw가 노출된다.

​https://los.rubiya.kr/chall/nessie_7c5b5d8119ce2951f2a4f2b3a1824dd2.php?pw=uawe0f9ji34fjkl 에 접속하면 문제가 풀린다.