Hello guys!
MutillidaeⅡです。
OWASP TOP10のカテゴリに合わせたメニュー構成となっているようで。
まずは、OWASP 2013の『User Info(SQL)』を選択して。
はじめに『Please register here』を押して、下記のようにユーザを登録して。
ユーザ名: testuser、パスワード:pass
はじめの画面に戻って、登録したユーザ名とパスワードで内容を確認して。
とにかく、エラーを出してSQL文を表示させたいので下記のように実施。
ユーザ名:testuser'、パスワード:pass
うまくエラーを表示させることができた。
プログラムはphpで、SQL文も確認でき。
下記のようにSQLインジェクションを試してみて。
ユーザ名:testuser' or 1=1 -- 、パスワード:pass
『--』の場合は、最後に半角スペースが必要で。
以前、ここでハマってしまって。
すべてのユーザ情報が取得できた。
Best regards,