Hello there, ('ω')ノ

 

今回hは、Access someone elses basketを。

 

まずは、管理者権限でログインして。

　admin@thebodgeitstore.com' or '1'='1

 

 

Adminメニューの内容を拝見するとUserIdとBasketIdがリンクしていて。

 

 

さらには、下の表ではBasketIdでどのProductIdがどのくらい購入されたかで。

 

 

まずは、Productを購入することに。

 

 

リクエスト内容を確認すると、b_idが怪しいものの何も値が入ってなくて。

とりあえず、下記のようにb_idを数回変えてみて変化を見てみるとクリアできた。

これでよいのだろうかと。

 

　b_id=1

　b_id=4

 

 

Best regards, (^^ゞ