SQL Server的WAITFOR DELAY注入
SQL Server的WAITFOR DELAY注入
WAITFOR是SQL Server中Transact-SQL提供的一個流程控制語句。它的作用就是等待特定時間,然後繼續執行後續的語句。它包含一個引數DELAY,用來指定等待的時間。如果將該語句成功注入後,會造成資料庫返回記錄和Web請求也會響應延遲特定的時間。由於該語句不涉及條件判斷等情況,所以容易注入成功。根據Web請求是否有延遲,滲透測試人員就可以判斷網站是否存在注入漏洞。同時,由於該語句並不返回特定內容,所以它也是盲注的重要檢測方法。
本期作業:
例如,構建以下注入語句:
find.asp?ID=300 WAITFOR DELAY '0:0:4'--
其中,WAITFOR DELAY '0:0:4'-- 表示延遲4秒,再繼續執行。這樣網頁響應會延遲4秒。
PS:由於WAITFOR不是SQL的標準語句,所以它只適用於SQL Server資料庫。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/29597077/viewspace-2138044/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 使用waitfor time和waitfor delay在一定時間間隔下定時執行批處理AI
- SQL Server 之 SQL 注入篇SQLServer
- 專門針對SQL Server的注入手段SQLServer
- 實戰記錄之SQL server報錯手工注入SQLServer
- ESX SERVER虛擬機器power-on boot delayServer虛擬機boot
- SQL 注入:聯合注入SQL
- sql注入之union注入SQL
- sql注入SQL
- SQL 注入SQL
- input delay和output delay講解
- sql注入修改SQL
- sql注入1SQL
- sql注入2SQL
- SQL防注入SQL
- 防止sql注入SQL
- SQL 的注入式攻擊SQL
- jQuery delay()jQuery
- (17)sql注入與sql modeSQL
- sql注入之堆疊注入及waf繞過注入SQL
- sql注入之型別及提交注入SQL型別
- sql注入攻擊SQL
- 如何防止sql注入SQL
- SQL 注入攻擊SQL
- PHP SQL防注入PHPSQL
- sql注入——盲注SQL
- SQL Server Express和SQL Server Compact的應用SQLServerExpress
- 如何有效防止sql注入SQL
- pick靶場-sql注入SQL
- SQL MAP 注入測試SQL
- XSS 和 SQL 注入SQL
- SQL,請別注入ASPSQL
- 二次注入(SQL)SQL
- sql聯合注入原理SQL
- .Net防sql注入的方法總結SQL
- SQL in ORACLE and SQL ServerSQLOracleServer
- sql ServerSQLServer
- SQL Server中,WITH AS的使用SQLServer
- SQL Server的流水模式SQLServer模式