Différence entre BLIND Sql Injection et INJECTION SQL ???

Sur tout ce qui concerne la sécurité des réseaux et systèmes avec leur protection et comment les contourner.

Différence entre BLIND Sql Injection et INJECTION SQL ???

Messagepar garenfletch » 26 Janvier 2015, 16:09

Bonjours à tous.

Je voudrais savoir quel est la différence entre BLIND Sql Injection et INJECTION SQL ???

Un pirate informatique peut-il pénétrer la base de données de mon site et y voler les données secrêtes si le site est vulnérable au BLIND Sql Injection exactement comme il peut le faire avec une faille d'INJECTION SQL ???

Les deux failles (BLIND Sql Injection et INJECTION SQL) sont exploitées de la même manière ???

Merci
garenfletch
Débutant
Débutant
 
Messages: 38
Inscription: 27 Septembre 2014, 10:20

Re: Différence entre BLIND Sql Injection et INJECTION SQL ??

Messagepar etherlord » 26 Janvier 2015, 16:54

"Blind injection SQL" est une méthode, basée sur l'injection SQL.

Comme son nom l'indique, cela exploite l'injection SQL.

Son but globalement est de contourner certaines protection, à savoir qu'on attends pas un résultats concret, mais un comportement du type vrai/faux pour déterminer ensuite ce qu'il y a derrière.

Cela empêche d'avoir un résultat faussé par les techniques qui visent à mitiger une attaque.

En gros, c'est une injection SQL.

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2490
Inscription: 22 Mars 2004, 16:12

Re: Différence entre BLIND Sql Injection et INJECTION SQL ??

Messagepar garenfletch » 27 Janvier 2015, 09:38

ok vraiment merci beaucoup pour l'info.
garenfletch
Débutant
Débutant
 
Messages: 38
Inscription: 27 Septembre 2014, 10:20

Re: Différence entre BLIND Sql Injection et INJECTION SQL ??

Messagepar Martinooooo » 27 Janvier 2015, 17:29

Une injection Blind SQL va demander beaucoup plus de temps qu'une injection normale vu qu'il va falloir bruteforcer le nom ds db/tables. (sauf si c'est une blind avec timing)

- Si blind injection non faisable avec timing (en gros les injections blind par timing testent le temps de réaction selon chaque lettre, ça bruteforce lettre par lettre donc c'est plutôt rapide) :
* Si le nom de tes db/tables sont des noms pas très originaux => t'es dans le caca
* Si le nom de tes db/tables sont très longs et folklo => ça peut éventuellement passer un hacker de caca qui essaie de chain les sites, mais pas recommandé ....

- Si blind injection avec timing => t'es dans le caca
Acme::Don't
Acme::Bleach
Acme::Pony
Lingua::Romana::Perligata
The Lingua::Romana::Perligata makes it makes it possible to write Perl programs in Latin. (If you have to ask "Why?", then the answer probably won't make any sense to you either.)
Avatar de l’utilisateur
Martinooooo
Maître des ténèbres
Maître des ténèbres
 
Messages: 577
Inscription: 19 Août 2008, 08:20
Localisation: DR8, le + utile DRx

Re: Différence entre BLIND Sql Injection et INJECTION SQL ??

Messagepar garenfletch » 03 Février 2015, 14:35

ok grand merci
garenfletch
Débutant
Débutant
 
Messages: 38
Inscription: 27 Septembre 2014, 10:20


Retourner vers Sécurité informatique

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité