SQL Blind Injection: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
| − | *Einsatz, wenn die Webanwendung / die Datenbank keine Ausgabe an die Webseite zurückliefert. | + | *Einsatz, wenn die Webanwendung / die Datenbank keine Ausgabe an die Webseite oder nur eine generische Error-Page zurückliefert. |
**bei Versuch einer SQL Injection | **bei Versuch einer SQL Injection | ||
| − | **bei fehlerhafter Eingabe | + | **bei fehlerhafter Eingabe |
*Es werden Anfragen an die Datenbank geschickt, die true oder false zurückliefern um zu erkennen, ob Anfragen auf der Datenbank ausgeführt werden. | *Es werden Anfragen an die Datenbank geschickt, die true oder false zurückliefern um zu erkennen, ob Anfragen auf der Datenbank ausgeführt werden. | ||
*Kann der Angreifer erkennen, dass Anfragen ausgeführt werden, kann er wie bei SQL Injection vorgehen - mit der Einschränkung, dass Ergebnisse nicht angezeigt werden. | *Kann der Angreifer erkennen, dass Anfragen ausgeführt werden, kann er wie bei SQL Injection vorgehen - mit der Einschränkung, dass Ergebnisse nicht angezeigt werden. | ||
Version vom 16. Juni 2021, 09:29 Uhr
- Einsatz, wenn die Webanwendung / die Datenbank keine Ausgabe an die Webseite oder nur eine generische Error-Page zurückliefert.
- bei Versuch einer SQL Injection
- bei fehlerhafter Eingabe
- Es werden Anfragen an die Datenbank geschickt, die true oder false zurückliefern um zu erkennen, ob Anfragen auf der Datenbank ausgeführt werden.
- Kann der Angreifer erkennen, dass Anfragen ausgeführt werden, kann er wie bei SQL Injection vorgehen - mit der Einschränkung, dass Ergebnisse nicht angezeigt werden.
- Technik, Vorgehen und Gegenmassnahmen wie bei SQl Injection.
Time-based SQL Blind Injection
- Die Annahmen werden Aufgrund der Antwortzeiten der Webseite nach Absenden einer entsprechenden SQL Abfrage getroffen.