[ネットワークハッカー/5 SQL注入攻撃]ブラインドSQL注入攻撃
1590 ワード
4.ブラインドSQL入力攻撃
(1)SQL Injection(Blind)に移動
コマンドウィンドウに
1と入力と、'User ID exists in the database.' あります.(単純SQLオブジェクトとは異なり、他の個人情報は提供されません)
5入力時: 6入力時:ユーザーは存在しません.
'入力時:ユーザーがいないような警告語は少ない.
(2)AND文が正常に動作していることを確認する
まず、入力ボックスに
1' AND 1=1#と入力して存在を示す.
入力欄に
1' AND 1=2#と入力すると存在しないことを示す.
したがって,1′の後のAND文の動作が見られる.
それを利用して、真偽を見分けることができます.
(3)ただし、ユーザが存在するか存在しないかで表示されるメッセージが同じであれば、応答時間によって存在するか否かを判定することができる。
Web上で
F12をクリックしてネットワークウィンドウを開きます.
入力バーに次のように入力します.
1' AND sleep(5)#
存在しない7番のユーザーを入力します.
7' AND sleep(5);
Reference
この問題について([ネットワークハッカー/5 SQL注入攻撃]ブラインドSQL注入攻撃), 我々は、より多くの情報をここで見つけました https://velog.io/@juyeon/웹해킹5SQL-인젝션-공격-블라인드-SQL-인젝션-공격テキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol