SQL Server的WAITFOR DELAY注入
SQL Server的WAITFOR DELAY注入
WAITFOR是SQL Server中Transact-SQL提供的一個流程控制語句。它的作用就是等待特定時間,然後繼續執行後續的語句。它包含一個引數DELAY,用來指定等待的時間。如果將該語句成功注入後,會造成資料庫返回記錄和Web請求也會響應延遲特定的時間。由於該語句不涉及條件判斷等情況,所以容易注入成功。根據Web請求是否有延遲,滲透測試人員就可以判斷網站是否存在注入漏洞。同時,由於該語句並不返回特定內容,所以它也是盲注的重要檢測方法。
本期作業:
例如,構建以下注入語句:
find.asp?ID=300 WAITFOR DELAY '0:0:4'--
其中,WAITFOR DELAY '0:0:4'-- 表示延遲4秒,再繼續執行。這樣網頁響應會延遲4秒。
PS:由於WAITFOR不是SQL的標準語句,所以它只適用於SQL Server資料庫。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/29597077/viewspace-2138044/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 實戰記錄之SQL server報錯手工注入SQLServer
- sql注入SQL
- SQL 注入SQL
- SQL 注入:聯合注入SQL
- sql注入之union注入SQL
- sql注入1SQL
- sql注入2SQL
- sql注入修改SQL
- 防止sql注入SQL
- Python 防止sql注入的方法PythonSQL
- sql serverSQLServer
- SQL Server 2008中Analysis Services的新特性——深入SQL Server 2008SQLServer
- input delay和output delay講解
- SQL Server 的死鎖SQLServer
- sql注入——盲注SQL
- NSSCTF———Web(sql注入)WebSQL
- XSS 和 SQL 注入SQL
- sql注入之型別及提交注入SQL型別
- sql注入之堆疊注入及waf繞過注入SQL
- Moebius for SQL ServerSQLServer
- sql server 使用SQLServer
- SQL Server教程SQLServer
- SQL Server 2014的重建索引SQLServer索引
- 二次注入(SQL)SQL
- pick靶場-sql注入SQL
- 如何有效防止sql注入SQL
- SQL MAP 注入測試SQL
- sql聯合注入原理SQL
- .Net防sql注入的方法總結SQL
- SQL SERVER優化SQLServer優化
- Nodejs 操作 Sql ServerNodeJSSQLServer
- SQL Server 別名(as)SQLServer
- sql server遞迴SQLServer遞迴
- Sql server with as update用法SQLServer
- SQL Server下載SQLServer
- SQL Server Left joinSQLServer
- SQL Server SUBSTRING FunctionsSQLServerFunction
- SQL Server LEFT FunctionsSQLServerFunction
- SQL Server Unique ConstratintsSQLServer