Hello guys!

MutillidaeⅡです。

OWASP TOP10のカテゴリに合わせたメニュー構成となっているようで。

まずは、OWASP 2013の『User Info(SQL)』を選択して。

 

 

はじめに『Please register here』を押して、下記のようにユーザを登録して。

 　ユーザ名： testuser、パスワード：pass

 

 

はじめの画面に戻って、登録したユーザ名とパスワードで内容を確認して。

 

とにかく、エラーを出してSQL文を表示させたいので下記のように実施。

　ユーザ名：testuser'、パスワード：pass

うまくエラーを表示させることができた。

プログラムはphpで、SQL文も確認でき。

 

 

下記のようにSQLインジェクションを試してみて。

　ユーザ名：testuser' or 1=1 -- 、パスワード：pass

『--』の場合は、最後に半角スペースが必要で。

以前、ここでハマってしまって。

 

 

すべてのユーザ情報が取得できた。

 

Best regards,