扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者提出的技巧的主要思路是:在盲注(blind SQL injection)时,如果不同SQL injection 指令的结果,无法由 HTTP Response 本身得知,那么可以用时间差的方式判断。可以设计一个很耗时的 SQL 指令,这时如果 SQL injection 成功,那么这个SQL injection 指令的执行结果,会影响到 Web server 回复 HTTP response 的速度,这个就可以用来判断 SQL injection 指令执行的结果。
Time-Based Blind SQL Injection using heavy queries:
A practical approach for MS SQL Server, MS Access, Oracle and MySQL databases and Marathon Tool
作者:
Chema Alonso
Microsoft MVP Windows Security,Informática64
José Parada
Microsoft IT Pro Evangelist,Microsoft
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。