[Перевод] Конференция HACKTIVITY 2012. Теория большого взрыва: эволюция пентестинга в условиях повышенной безопасности. Часть 2

Все блоги / Про интернет 17 декабря 2019 286

Конференция HACKTIVITY 2012. Теория большого взрыва: эволюция пентестинга в условиях повышенной безопасности. Часть 1

Сейчас мы попробуем другой способ внедрения SQL. Посмотрим, будет ли база данных продолжать отбрасывать сообщения об ошибках. Этот метод называется «ожидание задержки», а сама задержка записывается в таком виде: waitfor delay 00:00:01’. Я копирую это из нашего файла и вставляю в адресную строку браузера.

Всё это называется «слепое внедрение SQL на временной основе». Всё, что мы здесь делаем – это говорим: «ждать задержки в течение 10 секунд». Если вы заметили, слева вверху у нас имеется надпись «connecting...», то есть что делает наша страница? Она ждёт соединения, и через 10 секунд у вас на мониторе появляется правильная страница. С помощью этого приёма мы обращаемся к базе данных, чтобы она разрешила нам задать ей ещё несколько вопросов, например, если пользователь — Джо, то нужно ждать 10 секунд. Это понятно? Если пользователь – dbo, ждать тоже 10 секунд. Это и есть метод слепого внедрения SQL. Читать дальше →

Источник:

Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

[Перевод] Конференция HACKTIVITY 2012. Теория большого взрыва: эволюция пентестинга в условиях повышенной безопасности. Часть 1

Приветствую всех, как поживаете? Надеюсь, у вас все хорошо, тогда слушайте. Послушайте про то, что всегда случается со мной, когда я уезжаю из Америки и приезжаю в Азию или Европу, во все эти другие страны. Я начинаю выступать, я стою на сцене и начинаю говорить с людьми, я говорю им… как бы это

подробнее »

16 декабря 2019

[Перевод] Конференция DEFCON 20. Захват за 60 секунд: от гостевой учётной записи до администратора домена Windows. Часть 2

Конференция DEFCON 20. Захват за 60 секунд: от гостевой учётной записи до администратора домена Windows. Часть 1 Хорошо то, что мы можем войти в локальную сеть, подделав DNS. А как насчёт социальной инженерии, учитывающей предпочтения и склонности пользователей? Пентестеры знают, что в IE можно

подробнее »

19 января 2019

[Перевод] Конференция BLACK HAT. Как сделать шпионский телефон. Часть 1

Ведущий: Кевин Макнами является директором Лаборатории исследований проблем безопасности Bell Labs, которая является частью компании Alcatel-Lucent. Его презентация называется «Как сделать шпионский телефон», и если у вас есть какие-либо вопросы, пожалуйста, приберегите их до конца выступления,

подробнее »

23 декабря 2018

[Перевод] Конференция DEFCON 19. Anonymous и мы. Часть 1

Вы видите на экране фразу «Кто сражается с монстрами», а я – модератор этой презентации Пол Робертс, редактор threatpost.com, новостного портала, посвященного компьютерной безопасности. У нас большая группа выступающих, которых я представлю через пару секунд, а пока что расскажу про основные

подробнее »

20 января 2019

[Перевод] Конференция DEFCON 22. Эндрю «Зоз» Брукс. Не облажайся! Часть 2

Конференция DEFCON 22. Эндрю «Зоз» Брукс. Не облажайся! Часть 1 Используйте Opsec 24 часа в день 7 дней в неделю. Вы видите скриншот из чата на Reddit с Сабу, уже после того, как он стал стукачём, в котором он советует собеседнику использовать Opsec 24/7. Так что если «друзья» захотят вас утопить,

подробнее »

13 декабря 2018

[Перевод] Конференция DEFCON 16. Как я могу завладеть вами? Позвольте мне перечислить способы. Часть 1

Я всегда поражаюсь количеству присутствующих здесь людей, особенно учитывая, кто я по сравнению с Филом Циммерманом, так что спасибо, что потешили моё эго. Я Рендермен, и если хотя бы трое из вас меня не знают, скажу, что выступаю здесь на DefCon уже 10 лет. Я люблю это место, этих ребят, это наша

подробнее »

25 ноября 2018