Hello there, ('ω')ノ

 

久しぶりのGruyere。

以前は、XSSについて検証しましたが、下記のURLを読むと。

GruyereはSQLを使用しないので、SQLインジェクションは扱わないとか。

https://google-gruyere.appspot.com/part5#5__sql_injection

 

 

というわけで、軽くZAPで診断するとSQLiが検出されて。

 

 

デコードしたパラメータをコピーして。

 

 

ログイン画面から下記を入力して実行すると。

　User：ZAP AND 1=1 -- 

　Pass：ZAP

 

 

ログインできてしまった。

いったい、どういうことだろうか。

 

 

Best regards, (^^ゞ