Blind SQL Injection

2020. 7. 25. 02:11

SQL Injection 공격의 일종으로 데이터베이스에 참 거짓 질문을 통해 어플의 반응에 따라 답변을 결정함.

주로 웹이 일반적인 오류 메세지를 보여줄 때 사용된다.

 

SQL Injection을 사용할 때, 웹에서 SQL 쿼리 구문이 잘못되었다는 오류 메세지를 보낸다.

Blind SQL은 일반적인 SQL과 비슷하며, 유일한 차이점은 데이터베이스에서 정보를 수집하는 방법이다.

웹에서 아무런 응답이 없을 경우, 참 거짓 질문을 통해 데이터를 홈쳐올 수 있다.

 

예시 1  Content - based

 

예시 2  Time - based