'sqli_15.php참을 구별하기 위하여 sleep 함수를 사용하여 인젝션을 시도한다.' 페이지는 영화 검색 결과를 이메일로 보내는 기능을 한다.참 거짓에 상관없이 검색 결과는 모두 동일한 메시지를 출력한다.난이도 하SQL Injection이 가능한지 확인하기 위해 작은따옴표( ' ) 를 입력해본다.전 문제들 같은 경우 데이터베이스 종류를 나타내며 오류메시지를 출력하지만 해당 페이지는 검색결과를 이메일로 보낸다는 결과를 출력한다.이번에는 인자에 입력한 시간만큼 응답을 지연시키는 sleep()를 사용한다.그리고, 항상 참으로 만든는 쿼리를 and 연산자로 sleep()를 호출하여 이전 쿼리가 참이면 응답을 지연하게 한다.sleep(..........
Blind SQL 인젝션 - Time Based에 대한 요약내용입니다.
자세한 내용은 아래에 원문링크를 확인해주시기 바랍니다.
원문링크 : Blind SQL 인젝션 - Time Based
네이버 블로그
티스토리
커뮤니티