SQL Blind Injection: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
Zeile 5: Zeile 5:
 
*Kann der Angreifer erkennen, dass Anfragen ausgeführt werden, kann er wie bei SQL Injection vorgehen - mit der Einschränkung, dass Ergebnisse nicht angezeigt werden.
 
*Kann der Angreifer erkennen, dass Anfragen ausgeführt werden, kann er wie bei SQL Injection vorgehen - mit der Einschränkung, dass Ergebnisse nicht angezeigt werden.
 
*Technik, Vorgehen und Gegenmassnahmen wie bei SQl Injection.
 
*Technik, Vorgehen und Gegenmassnahmen wie bei SQl Injection.
 +
=Time-based SQL Blind Injection=
 +
*Die Annahmen werden Aufgrund der Antwortzeiten der Webseite nach Absenden einer entsprechenden SQL Abfrage getroffen.

Version vom 16. Juni 2021, 08:37 Uhr

  • Einsatz, wenn die Webanwendung / die Datenbank keine Ausgabe an die Webseite zurückliefert.
    • bei Versuch einer SQL Injection
    • bei fehlerhafter Eingabe (Error-Meldung)
  • Es werden Anfragen an die Datenbank geschickt, die true oder false zurückliefern um zu erkennen, ob Anfragen auf der Datenbank ausgeführt werden.
  • Kann der Angreifer erkennen, dass Anfragen ausgeführt werden, kann er wie bei SQL Injection vorgehen - mit der Einschränkung, dass Ergebnisse nicht angezeigt werden.
  • Technik, Vorgehen und Gegenmassnahmen wie bei SQl Injection.

Time-based SQL Blind Injection

  • Die Annahmen werden Aufgrund der Antwortzeiten der Webseite nach Absenden einer entsprechenden SQL Abfrage getroffen.
Abgerufen von „https://xinux.net/index.php?title=SQL_Blind_Injection&oldid=24185