基于时间的SQL注入攻击影响所有用户还是只影响我?

Time Based SQL Injection attack affect all users or just me?

提问人:Solo 提问时间:8/16/2022 更新时间:8/16/2022 访问量:315

问:

很抱歉问了这个愚蠢的问题,但是如果我发现一个容易受到时基SQL注入攻击的网站。例如,我正在使用 (sleep 20) 表示服务器将休眠 20 秒,然后响应我,因此服务器仅为我或网站上的所有用户关闭 20 秒???

mysql sql sql-server sql 注入

评论

0赞 Sebastiaan van den Broek 8/16/2022
这听起来更像是 security.stackexchange.com 的问题,尽管它也需要改进。
0赞 Solo 8/16/2022
好的,我会在那个平台上问这个问题。
0赞 Aravind Aravind 8/16/2022
对于所有人都会得到 20 秒的延迟,正如你所说,它的网站,它是如何延迟的,只为你?
1赞 Sebastiaan van den Broek 8/16/2022
你@AravindAravind听说过线程吗?

答:

2赞 Your Common Sense 8/16/2022 #1

是的,sleep() 函数只影响一个连接

您似乎误解了基于时间的SQL注入,将其与拒绝服务攻击混淆。

SQL注入的主要目标是破坏系统,而不是使服务器瘫痪。基于时间的注入的延迟用于此目的,以显示一些数据,而不是使服务器瘫痪。虽然SQL注入也可以用于DoS攻击。

评论

0赞 SQLmojoe 8/16/2022
不知道我们是否可以将其称为主要目标。SQL注入只是让系统听从你的一种方式。数据外泄可能是最常见的,因为入口点是数据库,但也可能存在横向移动的机会。一个非常流行的 RDBMS 过去(很久以前)默认使用通常的高特权服务帐户启用 shell 命令执行。那里的SQL注入攻击很容易让你拥有盒子,并轻松访问其他网络资源。RCE 可能会对数据库中的数据造成损害。

上一个:如何重写VBA SQL语句以防止SQL注入?[复制]

下一个:SQL 注入 mssql 节点 .js [重复]