条件付き応答を使用したブラインド SQL インジェクション (PortSwigger より) ラボ #11 from infosecwriteups.com security summary Twitter Facebook はてブ Pocket LINE コピー 2023.12.11 infosecwriteups.comBlind SQL injection with conditional responses (From PortSwigger) Lab #11 - infosecwriteups.com 「ようこそ」メッセージがユーザーテーブルに表示されます。 この攻撃は、ユーザーのテーブルに管理者ユーザーが存在する場合は true を返し、管理者が存在しない場合は false を返します。 これにより、アプリケーションは応答の長さに基づいて誤ったメッセージを返すことになります。 同様に、パスワードが 0 文字より大きいことを示す ?1 文字列が返されます。 これは、substring.nnl.conf ファイル.cnf のデフォルト値であることに注意してください。
コメント