盲扑克之星手机版官网注入是的子类型 扑克之星手机版官网注入 漏洞。对于攻击者而言,利用盲扑克之星手机版官网注入更加困难,也更耗时,但是对Web应用程序安全性的影响是相似的。成功利用数据库查询语言使攻击者可以控制数据库服务器。反过来,这可能导致敏感数据失窃(例如,信用卡号),甚至导致使用权限提升进行的完整Web服务器操作系统接管。

对于经典的扑克之星手机版官网注入,攻击者可能会看到数据库错误,或者直接在Web应用程序中看到其注入的恶意扑克之星手机版官网命令的输出。对于盲扑克之星手机版官网注入,他们永远不会看到扑克之星手机版官网语句的输出,但是他们可以看到应用程序或页面是否正确加载,并查看扑克之星手机版官网 Server处理在用户中传递的扑克之星手机版官网查询需要多长时间。输入。

有两种类型的 盲扑克之星手机版官网注入:基于内容的盲扑克之星手机版官网注入和基于时间的盲扑克之星手机版官网注入。对于基于内容的盲扑克之星手机版官网i,攻击者将分析用户提供的输入是否导致页面加载不同。对于基于时间的盲扑克之星手机版官网i,攻击者会注入导致延迟的扑克之星手机版官网命令(例如, SLEEP),查看页面是否显示有延迟。

预防技术

防止盲扑克之星手机版官网注入应使用的技术与防止任何扑克之星手机版官网注入应使用的技术相同。通常,盲目扑克之星手机版官网注入是开发人员试图严重保护网站免受扑克之星手机版官网注入的结果。例如,如果关闭错误报告,则经典的扑克之星手机版官网注入漏洞可能会变成盲扑克之星手机版官网注入漏洞。

为了保护自己:

  • 使用独立于语言的安全编码惯例。所有常见的Web开发平台(当然包括PHP,Java和ASP.NET,还包括Ruby或Python)都具有可用来避免扑克之星手机版官网注入漏洞(包括盲扑克之星手机版官网注入)的机制。不惜一切代价避免动态扑克之星手机版官网。最好的选择是使用准备好的语句,也称为参数化查询。如果扑克之星手机版官网数据库支持存储过程,则也可以使用存储过程(大多数数据库都支持,例如My扑克之星手机版官网,Oracle,MS 扑克之星手机版官网 Server和Postgre扑克之星手机版官网)。此外,您可以为所有输入字段和其他用户数据输入过滤和转义特殊字符(例如,用于基本扑克之星手机版官网注入的单引号)。但是,仅靠过滤和转义是不够的。
  • 用一个  漏洞扫描器 可以检测扑克之星手机版官网注入和盲扑克之星手机版官网注入漏洞。运行常规扫描,以发现可能尚未根据上述发现或阻止的新错误,或者可能会逐步引入的新错误。将安全扫描包括在软件开发生命周期(SDLC)中,以便尽早发现漏洞。

资源: //www.acunetix.com/blog/articles/blind-sql-injection/