Hello there, ('ω')ノ
久しぶりのGruyere。
以前は、XSSについて検証しましたが、下記のURLを読むと。
GruyereはSQLを使用しないので、SQLインジェクションは扱わないとか。
https://google-gruyere.appspot.com/part5#5__sql_injection
というわけで、軽くZAPで診断するとSQLiが検出されて。
デコードしたパラメータをコピーして。
ログイン画面から下記を入力して実行すると。
User:ZAP AND 1=1 --
Pass:ZAP
ログインできてしまった。
いったい、どういうことだろうか。
Best regards, (^^ゞ