• Einsatz, wenn die Webanwendung / die Datenbank keine Ausgabe an die Webseite oder nur eine generische Error-Page zurückliefert.
  • bei Versuch einer SQL Injection
  • bei fehlerhafter Eingabe
• Es werden Anfragen an die Datenbank geschickt, die true oder false zurückliefern um zu erkennen, ob Anfragen auf der Datenbank ausgeführt werden.
• Kann der Angreifer erkennen, dass Anfragen ausgeführt werden, kann er wie bei SQL Injection vorgehen - mit der Einschränkung, dass Ergebnisse nicht angezeigt werden.
• Technik, Vorgehen und Gegenmassnahmen wie bei SQl Injection.

Time-based SQL Blind Injection

• Die Annahmen werden Aufgrund der Antwortzeiten der Webseite nach Absenden einer entsprechenden SQL Abfrage getroffen.