정보보안 관련 블로그입니다. 잘못된 정보를 발견시 피드백 부탁드립니다.
이번엔 replace로 대소문자를 통한 우회를 막아놓았다. 그래서 replace의 전형적인 맹저인 한번만 필터링 검사를 한다는 점을 이용했다. 쿼리 입력을 aadmindmin으로 하면 replace가 admin을 공백처리해버리기때문에 a(admin="")dmin이 입력되게된다. 그래서 admin으로 정상입력이 이루어진다.
* 단축키는 한글/영문 대소문자로 이용 가능하며, 티스토리 기본 도메인에서만 동작합니다.