[Перевод] Конференция HACKTIVITY 2012. Теория большого взрыва: эволюция пентестинга в условиях повышенной безопасности. Часть 2
Конференция HACKTIVITY 2012. Теория большого взрыва: эволюция пентестинга в условиях повышенной безопасности. Часть 1
Сейчас мы попробуем другой способ внедрения SQL. Посмотрим, будет ли база данных продолжать отбрасывать сообщения об ошибках. Этот метод называется «ожидание задержки», а сама задержка записывается в таком виде: waitfor delay 00:00:01’. Я копирую это из нашего файла и вставляю в адресную строку браузера.
Всё это называется «слепое внедрение SQL на временной основе». Всё, что мы здесь делаем – это говорим: «ждать задержки в течение 10 секунд». Если вы заметили, слева вверху у нас имеется надпись «connecting...», то есть что делает наша страница? Она ждёт соединения, и через 10 секунд у вас на мониторе появляется правильная страница. С помощью этого приёма мы обращаемся к базе данных, чтобы она разрешила нам задать ей ещё несколько вопросов, например, если пользователь — Джо, то нужно ждать 10 секунд. Это понятно? Если пользователь – dbo, ждать тоже 10 секунд. Это и есть метод слепого внедрения SQL. Читать дальше →
Хабрахабр
Сейчас мы попробуем другой способ внедрения SQL. Посмотрим, будет ли база данных продолжать отбрасывать сообщения об ошибках. Этот метод называется «ожидание задержки», а сама задержка записывается в таком виде: waitfor delay 00:00:01’. Я копирую это из нашего файла и вставляю в адресную строку браузера.
Всё это называется «слепое внедрение SQL на временной основе». Всё, что мы здесь делаем – это говорим: «ждать задержки в течение 10 секунд». Если вы заметили, слева вверху у нас имеется надпись «connecting...», то есть что делает наша страница? Она ждёт соединения, и через 10 секунд у вас на мониторе появляется правильная страница. С помощью этого приёма мы обращаемся к базе данных, чтобы она разрешила нам задать ей ещё несколько вопросов, например, если пользователь — Джо, то нужно ждать 10 секунд. Это понятно? Если пользователь – dbo, ждать тоже 10 секунд. Это и есть метод слепого внедрения SQL. Читать дальше →
Источник:
Хабрахабр
Похожие новости
- Новости кибербезопасности за неделю с 26 мая по 1 июня 2025
- Zerotrust по-пацански
- Gartner's AI Tech Sandwich: Едим ИИ-бутерброд правильно
- Как искусственный интеллект трансформирует SASE и Нулевое доверие в современной корпоративной инфраструктуре
- 5 нейроинструментов, которые помогают создавать хорошие изображения
- 35% маркетологов недовольны отсутствием удалёнки
- Как создать эффектный и бесполезный вирусный контент
- 7 самых распространенных ошибок при внесении ПО и ПАК в МинЦифры и как этого избежать
- Бюджеты иностранных рекламодателей в VK Рекламе выросли по итогу первого квартала 2025 года
- 37% предпринимателей управляют маркетингом лично: подходы разных поколений к маркетингу