Este artículo ( PDF ) habla sobre una técnica de inyección ciega basada en consultas pesadas.
Preguntas:
-
¿Puede alguien explicarme el propósito de usar consultas pesadas en comparación con las técnicas normales basadas en el tiempo? ¿Es tal vez que, cuando los procedimientos almacenados y las funciones de referencia están deshabilitados, es la única forma de realizar un poco de investigación de vulnerabilidades?
-
Con referencia a MySQL, el hecho de que demore 30 segundos, ¿qué significa? Mi razonamiento es: si tarda 30 segundos, la consulta inyectada (consulta densa) puede ejecutarse, ya que la consulta se diseñó específicamente para MySQL, la plataforma de la base de datos es MYSQL. Pero ¿qué pasa con el resultado negativo?
-
¿Estoy en lo cierto al decir que el enfoque de consulta pesada se usa solo para recuperar información sobre la plataforma de base de datos? En realidad, es otra forma de obtener ese tipo de información. Otros métodos tienen que ver con la función Benchmark aand sleep (MySQL).