cLw7hp Posted June 30, 2012 Report Posted June 30, 2012 Atacurile de tip Blind SQLi sunt definite prin executarea unor anumite comenzi specifice pentru a ob?ine, de cele mai multe ori, acces la date importante de pe siteul ?int?.Când un atactor execut? atacuri de tip SQLi, cateodat? serverul r?spunde cu mesaje de eroare din baza de date a serverului, spunând c? sintaxa este incorect?. Injec?ia SQL de tip BLIND este similar? unei injec?ii simple SQL, cu exceptia c? in loc ca atacatorul sa vad? mesaje de eroare, el vede o pagin? pre-stabilit? de c?tre developer . Asta face ca atacurile de tip BLIND s? fie mai dificil de performat, ins? nu imposibil. Atacatorul inc? poate s? fure date prin interogarea bazei de date cu intreb?ri adev?rat sau fals .METODE DE INTEROGARE ” ADEV?RAT SAU FALS? ” – Con?inutul (in)vizibilExemplu de URL: www.siteulmeu.com/articol.php?id=2 trimite urm?toarea comand? catre server:SELECT titlu, continut, descriere FROM articole WHERE ID = 2Atacatorul poate trimite orice tip (chiar ?i invalid) de query, care va face con?inutul paginii s? dispar?:www.siteulmeu.com/articol.php?id=2 AND 1=2Care va face queryul final s? arate a?a:SELECT titlu, continut, descriere FROM articole WHERE ID = 2 AND 1=2In caz c? aplicatia e vulnerabil? la Blind SQL Injection, pagina nu va arata nimic in cazul 1=2, dup? cum am spus.Ins?, in cazul trimiterii unui query corect, pagina va fi afi?at? in mod normal:www.siteulmeu.com/articol.php?id=2 AND 1=1?sta e finalul articolului, ?i am observat cum atacatorul poate distinge aplica?iile vulnerabile de cele securizate printr-o serie de intrebari adev?rat sau fals.Stiu,nu cred ca e prea bun,insa e primul meu tutorial ,si as aprecia niste sfaturi.Multumesc ! Quote
Vlachs Posted June 30, 2012 Report Posted June 30, 2012 De ce e la gunoi? Pentru ca nu este un tutorial ci cateva randuri despre ceva ? Quote
Wubi Posted June 30, 2012 Report Posted June 30, 2012 De ce e la gunoi? Cel mai probabil pentru ca sunt mii de tutoriale despre SQL Injection de zeci de ori mai complexe. Ce ai facut tu nu e tocmai un tutorial. Nici chiar o introducere in Blind SQL Injection. Quote