他们通过观察应用程序如何随时间响应其查询来推断数据的存在或值。 盲 注入执行起险因为它们会识别服务器的行为模式。 推理 注入也可以分为两个子类别如下所示 基于布尔的 注入攻击者编写 命令作为查询并将其发送到数据库要求应用程序返回响应。响应取决于查询是真还是假。查询的 结果可能会出现一些变化也可能保持不变。然后攻击者分析该消息是真是假。 基于时间的注入攻击者向数据库发起查询提示系统在响应之前短暂等待通常是几秒钟。
数据库响应的时间段允许攻击者根据真或假来评估查询的合法性。根据查询结果将立即或一段时间后生成 结果。然后即使不访问数据库的信息攻击者也可以评估消息的状态是真还是假。 出界注入 当某些数据库功能缺失时无法执行 WhatsApp 号码列表 出界 注入。这是一种臭名昭著的 注入类型它依赖于数据库服务器的功能。如果未启用某些功能攻击者无法发起此攻击。在配置时它可能看起来像是数据库管理员的问题。 当攻击者无法使用与带内 注入相同的通信通道来发起攻击时就会使用这种注入攻击。
即使数据库服务器不稳定且速度缓慢攻击者也可以执行此攻击。此方法基于服务器转发 或 请求以将敏感数据传递给攻击者的能力。 执行 注入攻击 要了解什么是注入攻击还必须了解注入攻击是如何进行的。为了发起 注入攻击攻击者会在 应用程序或页面中找到易受攻击的用户输入。攻击者通过恶意负载创建有害的输入内容并将其作为用户输入发送然后在包含重要数据的数据库中执行恶意命令。 是一种编程语言它编写查询和命令来管理存储在关系数据库中的数据。 |