記事へのコメント39

    • 注目コメント
    • 新着コメント
    dorapon2000
    “このエントリでは、Time-based SQLインジェクション、すなわち時間差を利用したSQLインジェクションが意外に実用的だったという報告をします”

    その他
    Nean
    勉強になる。

    その他
    zu2
    さすがすぎる

    その他
    kazuhooku
    kazuhooku 面白い。リニアサーチやバイナリサーチより、ビット演算で各ビットを求めるようにする方が消費リソースと速度の関係で効率的かも

    2015/04/17 リンク

    その他
    sonots
    こんなやり方あるのか

    その他
    noradaiko
    ブラインドSQLインジェクション・・ - Time-based SQL Injectionは意外に実用的だった | 徳丸浩の日記

    その他
    Jxck
    こんなことよく思いつくなぁ。。ほんとすごい。

    その他
    knjname
    術語付きsleep関数差し込みの有効有無の二値で特定のシステム内の値を絞り込む手法 "徳丸浩の日記: Time-based SQL Injectionは意外に実用的だった"

    その他
    daybeforeyesterday
    うーむ

    その他
    tetsutalow
    おおー、面白い!インジェクションできる状況によっては実用的攻撃がないと反論されることがあるが、ブラインドでもこれほど効果があると例示するときに使わせてもらいます。

    その他
    uraxurax
    (ソース:https://twitter.com/hebikuzure/status/588504401066733568) iPadから送信

    その他
    sonota88
    「MySQLにはsleep()が、PostgreSQLにはpg_sleep()があります。」

    その他
    kitaj
    なるほど。面白いな、これは。

    その他
    terazzo
    terazzo 上手く符号化して短い秒数に頻出文字 or ワードを割り当てるようにするテクニック作れそう。

    2015/04/16 リンク

    その他
    ngyuki
    ngyuki いずれにしてもSQLインジェクションはダメよってことで

    2015/04/16 リンク

    その他
    fukken
    表示部分でフィルタされていても情報を盗めるのが面白いな

    その他
    rti7743
    バグを突いて、時間をかけて調べている間に、破壊的な攻撃をするクラッカーに先を越されてサイトを飛ばされるかもよ。攻撃しているのが一人とは限らないし。

    その他
    trashtoy
    とても興味深い。応答時間を計測するという点はOSUETA攻撃にも近いけれど、遅延時間をこちらから仕込むという点がユニーク

    その他
    moutend
    なるほど

    その他
    stealthinu
    sleep(5)とか待ち時間をインジェクションで入れて掛かった時間からデータを判定させる手法。

    その他
    mumincacao
    他の処理で時間かかり過ぎて生半可な sleep なら埋もれちゃうようなへっぽこーどを使えば対抗できる・・・かなぁ? でも結局 SQL Injection 潰すのが一番楽な気がするのです(ーω【みかん

    その他
    petitbang
    sleep()で情報をチェックするのか、おもしろい。しかも結構実用的と。

    その他
    jojo800
    はー、なるほど

    その他
    ymkjp
    sleep関数を用いたSQLiによって完全ブラインドで情報暴露させるデモ。動画が衝撃的だ。

    その他
    haruten
    1クロック=5秒で命令を回していかに早く情報を取得するか、みたいに読めて面白かった。面白いで済ませてはいけないんだろうけど。

    その他
    koseki
    すごい!500マイル先にメール届かない話みたいなおもしろさがある。

    その他
    YaSuYuKi
    光でも片道数十秒かかるところと1bit単位で通信しても役立つんだから、それよりずっと速い以上もっとできるな

    その他
    raimon49
    sleep()で当たりを引いてメールアドレスとパスワードを探して行く。

    その他
    ytRino
    ソートにもSQLインジェクションにも使えるsleep最強!

    その他
    koyancya
    Time-based SQL Injection 知らなかった。すごい

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Time-based SQL Injectionは意外に実用的だった

    このエントリでは、Time-based SQLインジェクション、すなわち時間差を利用したSQLインジェクションが意...

    ブックマークしたユーザー

    • dorapon20002024/03/25 dorapon2000
    • TAKEmaru2018/05/08 TAKEmaru
    • ozuma2018/03/04 ozuma
    • oooooooo2016/06/02 oooooooo
    • learn2015/11/01 learn
    • InoHiro2015/06/07 InoHiro
    • oppara2015/05/15 oppara
    • smokyjp2015/05/13 smokyjp
    • y_uuki2015/05/08 y_uuki
    • nabinno2015/05/03 nabinno
    • shirokurostone2015/04/29 shirokurostone
    • Takao2015/04/26 Takao
    • yuuki55552015/04/22 yuuki5555
    • nakaearth2015/04/22 nakaearth
    • punitan2015/04/20 punitan
    • ionis2015/04/20 ionis
    • respepic2015/04/20 respepic
    • TakayukiN6272015/04/19 TakayukiN627
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む