로그인 입력값이 SQL 쿼리에 그대로 들어가는 구조였다.
사용자 입력값에 대한 검증이 없어 SQL Injection이 가능했다.
기본 로그인 우회 payload를 테스트했다.
' OR '1'='1
이후 admin 계정 조건을 만족시키는 방식으로 접근했다.
단순 payload 암기가 아니라 쿼리 구조를 이해하는 것이 중요하다는 것을 느꼈다.