盲排五走势图注入是的子类型 排五走势图注入 漏洞。对于攻击者而言,利用盲排五走势图注入更加困难,也更耗时,但是对Web应用程序安全性的影响是相似的。成功利用数据库查询语言使攻击者可以控制数据库服务器。反过来,这可能导致敏感数据失窃(例如,信用卡号),甚至导致使用权限提升进行的完整Web服务器操作系统接管。

对于经典的排五走势图注入,攻击者可能会看到数据库错误,或者直接在Web应用程序中看到其注入的恶意排五走势图命令的输出。对于盲排五走势图注入,他们永远不会看到排五走势图语句的输出,但是他们可以看到应用程序或页面是否正确加载,并查看排五走势图 Server处理在用户中传递的排五走势图查询所花费的时间。输入。

有两种类型的 Blind 排五走势图注入s: Content-based Blind 排五走势图注入 and Time-based Blind 排五走势图注入. In the case of the Content-based Blind 排五走势图i, the attacker analyzes whether the user-supplied input causes the page to load differently. In the case of Time-based Blind 排五走势图i, the attacker injects an 排五走势图 command that caused a delay (for example, SLEEP),查看页面是否显示有延迟。

预防技术

防止盲排五走势图注入应使用的技术与防止任何排五走势图注入应使用的技术相同。通常,盲目排五走势图注入是开发人员试图严重保护网站免受排五走势图注入的结果。例如,如果关闭错误报告,则经典的排五走势图注入漏洞可能会变成盲排五走势图注入漏洞。

为了保护自己:

  • 使用独立于语言的安全编码惯例。所有常见的Web开发平台(当然包括PHP,Java和ASP.NET,还包括Ruby或Python)都具有可用来避免排五走势图注入漏洞(包括盲排五走势图注入)的机制。不惜一切代价避免动态排五走势图。最好的选择是使用准备好的语句,也称为参数化查询。如果排五走势图数据库支持存储过程,则也可以使用存储过程(大多数数据库都支持,例如My排五走势图,Oracle,MS 排五走势图 Server和Postgre排五走势图)。此外,您可以为所有输入字段和其他用户数据输入过滤和转义特殊字符(例如,用于基本排五走势图注入的单引号)。但是,仅靠过滤和转义是不够的。
  • 用一个  漏洞扫描器 that can detect both 排五走势图注入 and Blind 排五走势图 injection vulnerabilities. Run regular scans to identify any new bugs which may not have been identified or prevented as per the above or that may be introduced moving forward. Include the security scan in your software development lifecycle (SDLC) so that vulnerabilities are caught as early as possible.

资源: //www.acunetix.com/blog/articles/blind-sql-injection/