Titre de l'épreuve : Espace 'admin'
Description :
Espace 'admin'.
Essayez de passer ce login.
Lien : http://www.newbiecontest.org/index.php?page=epreuve&no=75
Type de faille : Injection SQL
Explication :
Il faut bypasser l'authentification de ce formulaire, pour cela il est possible d'utiliser une injection SQL.
Ici le mot de passe doit être : " ' OR 1=1-- "
car la requête SQL qui sert à identifier un utilisateur est la suivante :
SELECT id FROM Membre WHERE login = '(nom)' AND password = '(mot de passe)';
Avec le mot de passe précédent on obtient ceci :
SELECT id FROM Membre WHERE login = 'login' AND password = '' OR 1=1 --';
Or dans la requête on vérifie si 1=1, ce qui est toujours vrai et -- indique le début d'un commentaire, ce qui masque la suite de la requête.
Solution : blocus