Was ist eine SQL Blind Injection

Aus Xinux Wiki
Version vom 11. März 2023, 10:06 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „*Einsatz, wenn die Webanwendung / die Datenbank keine Ausgabe an die Webseite oder nur eine generische Error-Page zurückliefert. **bei Versuch einer SQL Injec…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen
  • Einsatz, wenn die Webanwendung / die Datenbank keine Ausgabe an die Webseite oder nur eine generische Error-Page zurückliefert.
    • bei Versuch einer SQL Injection
    • bei fehlerhafter Eingabe
  • Es werden Anfragen an die Datenbank geschickt, die true oder false zurückliefern um zu erkennen, ob Anfragen auf der Datenbank ausgeführt werden.
  • Kann der Angreifer erkennen, dass Anfragen ausgeführt werden, kann er wie bei SQL Injection vorgehen - mit der Einschränkung, dass Ergebnisse nicht angezeigt werden.
  • Technik, Vorgehen und Gegenmassnahmen wie bei SQl Injection.

Time-based SQL Blind Injection

  • Die Annahmen werden Aufgrund der Antwortzeiten der Webseite nach Absenden einer entsprechenden SQL Abfrage getroffen.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Was_ist_eine_SQL_Blind_Injection&oldid=43094