[Vulnerability] - Blind Injection 취약점

논리적 에러기반 및 Union 기법은 에러가 발생되는 사이트에서만 가능 -> 에러가 발생하지 않는 다면? => Blind 를 통한 증명 Blind (보이지 않는) + Injection (삽입) = 보이지 않는 삽입 오류메시지가 보이지 않는 사이트에서 SQL 쿼리의 참/거짓 동작만으로 DB 구조를 파악하는 공격기법이다. 1)점검대상 : http://testaspnet.vulnweb.com/ 2)접근순서 : 가.

Arachni 를 통한 취약점 확인 나. Arachni에서 나온 취약점을 해당 사이트에 점검 및 그 외 취약점 여부 확인 다. sqlmap을 통한 데이터베이스 접근 가.

Arachni 를 통한 취약점 확인 1. Blind Injection 취약점 개수 : 2 2. id=0;waitfor delay '0:0:16'-- 삽입 waitfor delay : MSSQL에서의 쿼리출력 시간을 조절하는 함수 (시:분:초) sleep : Mysql 에서의 쿼리출력 시간을 조절하는 함수 나. ...