Portswigger academy SQLi Lab: SQL injection vulnerability allowing login bypass

Dalam tantangan lab kali ini, kita disuruh mem-bypass halaman login dengan menggunakan username administrator, ada cara manual langsung di labnya atau meng-intercept dengan menggunakan tools burpsuite. 

Cara Manual:

Buka lab, setelah itu masuk ke halam login / my account. Selanjutnya isi form login dengan username:

' OR 1=1--  dan password sembarang. atau bisa juga dicopas dikedua form loginnya. 

Hasilnya:

Cara Burpsuite:

Buka burpsuite, klik intercept on. Di halaman login tadi, coba login menggunakan username administrator dan password sembarang. nanti burpsuite akan menangkapnya:

di pojok kiri bawah ubah parameter username menjadi administrator'-- setelah itu klik forward dan klik intercept off. Maka kita telah berhasil menyelesaikan labnya dengan menggunakan burpsuite. 

Kenapa ada tanda '-- ? tanda ini akan mengabaikan querry setelahnya, secara sederhana cukup memasukkan username dan password akan diabaikan alias tanpa password.