文中提到的工具下载地址:MarathonTool 功能强大的盲注工具
2008 DEFCON 16全球黑客大会上发布的论文
来源:补天网
作者提出的技巧的主要思路是:在盲注(blind SQL injection)时,如果不同SQL injection 指令的结果,无法由 HTTP Response 本身得知,那么可以用时间差的方式判断。可以设计一个很耗时的 SQL 指令,这时如果 SQL injection 成功,那么这个SQL injection 指令的执行结果,会影响到 Web server 回复 HTTP response 的速度,这个就可以用来判断 SQL injection 指令执行的结果。
Time-Based Blind SQL Injection using heavy queries:
A practical approach for MS SQL Server, MS Access, Oracle and MySQL databases and Marathon Tool
作者:
Chema Alonso
Microsoft MVP Windows Security,Informática64
José Parada
Microsoft IT Pro Evangelist,Microsoft
.abu.点评:
打包内容包括演讲的论文稿以及幻灯片 pdf格式
论文中提及的工具,可以在以下位置找到:下载MarathonTool 功能强大的盲注工具
论文下载地址:http://butian.org/security/Learning-materials/20080907/166.html
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论