tags: Blind_SQL_Injection sql_injection
Questo tipo di SQL Injection viene fatta quando il server non fornisce nessuna risposta rilevante a qualsiasi richiesta posta dall’utente, quindi l’unico modo per capire se la nostra richiesta è stata accettata o meno dobbiamo utilizzare il tempo di risposta e messaggi booleani, ecco degli esempi:
Time-Based
; IF EXISTS(SELECT * FROM creditcard) WAITFOR DELAY '0:0:10’---
controllerà se il database “creditcard” esiste o meno.
-
In caso negativo, viene visualizzato il messaggio “Impossibile elaborare la richiesta. Riprova più tardi”.
-
In caso affermativo, il sistema rimane in modalità sospensione per 10 secondi e, dopo 10 secondi, visualizza il messaggio “Impossibile elaborare la richiesta. Riprovare più tardi”.
Questo pemette di scoprire molte informazioni sul database.