分析用のトラッキング Cookie を使用するアプリケーションに対するブラインド SQL 攻撃の検出に時間遅延を伴う SQL インジェクションの脆弱性。
アプリケーションは、送信された追跡 Cookie の値を含む SQL クエリを実行します。
ただし、このクエリの結果は返されず、クエリが行を返すかエラーを引き起こすかによってアプリケーションの応答が変わることはありません。
SQL 攻撃は同期的に実行されるため、情報を推測するために条件付きの時間遅延をトリガーすることが可能です。
1.10 ラボ: 時間遅延のあるブラインド SQL インジェクション | 2023年 from infosecwriteups.com
security summary分析用のトラッキング Cookie を使用するアプリケーションに対するブラインド SQL 攻撃の検出に時間遅延を伴う SQL インジェクションの脆弱性。
アプリケーションは、送信された追跡 Cookie の値を含む SQL クエリを実行します。
ただし、このクエリの結果は返されず、クエリが行を返すかエラーを引き起こすかによってアプリケーションの応答が変わることはありません。
SQL 攻撃は同期的に実行されるため、情報を推測するために条件付きの時間遅延をトリガーすることが可能です。
コメント