SQL Server的WAITFOR DELAY注入

最新推荐文章于 2024-04-09 14:22:03 发布
最新推荐文章于 2024-04-09 14:22:03 发布
阅读量2.7k 收藏 7
点赞数
分类专栏: Sql Server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/willingtolove/article/details/95242160
版权

1、waitfor用法介绍

功能:指定触发语句块、存储过程或事务执行的时间、时间间隔或事件。

语法:WAITFOR { DELAY  'time' | TIME  'time' }

参数:

  DELAY:指等过了指定的时间过去后再执行SQL。

  TIME:指等到了指定的时间点后再执行SQL。

  'time':要等待的时间。可以按 datetime 数据可接受的格式指定 time,也可以用局部变量指定此参数。格式为"HH:MM:SS",不支持日期,最长可达 24 小时。

2、waitfor 示例

例子1:指定等待1小时2分钟3秒后执行

waitfor delay '01:02:03'
select * from PS_Category

例子2:指定10点1分2秒时执行

waitfor time '10:01:02'
select * from PS_Category

3、SQL Server的WAITFOR DELAY注入

waitfor delay用来指定等待的时间。如果将该语句成功注入后,会造成数据库返回记录和Web请求也会响应延迟特定的时间。由于该语句不涉及条件判断等情况,所以容易注入成功。根据Web请求是否有延迟,渗透测试人员就可以判断网站是否存在注入漏洞。同时,由于该语句并不返回特定内容,所以它也是盲注的重要检测方法。
例如:

http://www.my.com/find.aspx?ID=100 WAITFOR DELAY '0:0:10'--

其中,WAITFOR DELAY '0:0:10'--  表示延迟10秒,再继续执行。这样网页响应会延迟10秒。

4、注意

由于WAITFOR不是SQL的标准语句,所以它只适用于SQL Server数据库。

▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼
博客园同步更新地址:https://www.cnblogs.com/willingtolove/p/11160605.html
▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲

willingtolove
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
77.网络安全渗透测试—[SQL注入篇16]—[SQLSERVER+ASP-延时注入]
qwsn
01-19 4441
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、SQLSERVER+ASP 延时注入 1、简介 2、判断注入 3、猜解长度、个数、字符 4、以上总结:`12步` 5、思考1:`information_schema的区别` 6、思考2:`如何一次查询当前库的所有表长度` 7、简化延时注入步骤:`9步(省略了判断个数的步骤)`
waitfor延迟执行语句 sql server
08-24
waitfor延迟执行语句 sql server
sql注入之延时注入
最新发布
weixin_45653478的博客
04-09 1383
攻击者提交一个对执行时间敏感的SQL语句,通过执行时间的长短来判断注入是否成功。id=1' and if(ascii(substr(database(),1,1))=115,sleep(5),1)--+ #延时5秒。id=1' and if(ascii(substr(database(),5,1))=114,sleep(5),1)--+ #延时5秒。id=1' and if(ascii(substr(database(),1,1))>97,sleep(5),1)--+ #延时5秒。
SQL Server 2008中SQLWaitFor
dfdfadsf3443的博客
12-07 113
SQL Server 2008中SQL应用系列--目录索引 在SQL Server 2005以上版本中,在一个增强的WaitFor命令,其作用可以和一个job相当。但使用更加简捷。 看MSDN:http://msdn.microsoft.com/zh-cn/library/ms187331.aspx 语法为: WAITFOR { DELAY 'time_to_pass...
sqlserver waitfor time 延迟函数的用法
网络资源
04-28 521
SQL有定时执行的语句 WaitFor,可以写到一个存储过程中再执行一次 语法:WaitFor{Delay ‘time’|Time ‘time} Delay后面的时间为延迟多少时间执行 Time后面的时间为指定何时执行,格式为”HH:MM:SS”,不支持日期 例: ——指定10:00执行 Begin waitfor time ‘10...
SQL server延时(WAITFOR)
小老弟的博客
12-09 4431
SqlServer延时
SQL Server 2008中SQLWaitFor使用介绍
12-15
语法为:WAITFOR { DELAY ‘time_to_pass’ | TIME ‘time_to_execute’ | [ ( receive_statement ) | ( get_conversation_group_statement ) ] [ , TIMEOUT timeout ]} 以下示例在晚上 10:20 (22:20) 执行存储过程 ...
sql server 2008 mysql 手工注入
03-25
对于SQL Server 2008,防止SQL注入的关键在于使用参数化查询或存储过程。参数化查询允许开发者将用户输入作为参数传递,而不是直接拼接在SQL语句中,从而避免了恶意代码的执行。存储过程则提供了封装和预编译SQL语句...
三步堵死 SQL Server注入漏洞
09-11
三步堵死 SQL Server 注入漏洞 SQL Server 注入漏洞是一种常见的 Web 应用程序安全漏洞,攻击者可以通过构造恶意的 SQL 语句来获取或修改数据库中的数据,以获取未经授权的访问权限。为防止 SQL Server 注入漏洞,...
sqlserver离线安装包
11-01
sqlserver离线安装包
执行Sqlserverwaitfor delay延时操作或waitfor time定时操作
Andrewniu的博客
05-18 5207
private static string connectionString = RBAC.Dal.DataRootBase.ConnectionString;private SqlConnection mConnection = new SqlConnection(connectionString);#region/// <summary>/// 当点击执行查询时发生(异步操作) /...
SQL Server-流程控制 6,WaitFor 语句
weixin_34183910的博客
12-25 145
ylbtech-SQL Server:SQL Server-流程控制 6,WaitFor 语句  SQL Server 流程控制中的 WaitFor 语句。 1,WaitFor 语句 1 --============================================================= 2 -- 1, Wa...
SQL - waitfor delay/time(SQL中延迟时间的方法)
袭冷
03-30 5340
一、waitfor介绍     功能:指定触发语句块、存储过程或事务执行的时间、时间间隔或事件。     语法:WAITFOR { DELAY 'time' | TIME 'time' }     参数:DELAY:指等过了指定的时间过去后再执行SQL。         TIME:指等到了指定的时间点后再执行SQL。         'time':要等待的时间。可以按 dat
sql server 中延迟时间的方法 waitfor delay / time
leano2818的专栏
03-30 2064
一、使用 WAITFOR delay 【例】等待1小时10分零12秒后执行select语句  WAITFOR delay '01:10:12'  Select * from publishers 二、使用 WAITFOR time 【例】等到11点12分后才执行select 语句 WAITFOR time '11:12:00'   Slect * from p
Sql ServerWaitFor命令的使用
weixin_30587025的博客
05-07 351
用途有两个: 1、延迟一段时间后执行 比如: waitfor delay '00:00:05' print '延迟5秒执行!' --5秒后执行print 2、指定从何时起执行 比如: waitfor time '21:17' print '21:17执行' --到21:17的时候才会执行print 转载于:https://www.cnblogs.com/ice5/artic...
SQLwaitfor delay语句
最有趣的编程
02-28 7364
sqlsever waitfor delay 注入 如何修复
07-08
要修复 SQL Server 中的 WAITFOR DELAY 注入问题,您可以采取以下措施: 1. 使用参数化查询:确保在构建 SQL 查询语句时使用参数化查询的方式,而不是直接拼接用户输入的数据。参数化查询可以有效防止 SQL 注入攻击,因为参数值会被当作数据而不是代码来处理。 2. 进行输入验证和过滤:对于用户输入的数据,进行必要的验证和过滤,以确保只接受合法的输入。可以使用正则表达式、白名单过滤等方式来限制输入的内容和格式。 3. 使用存储过程或预编译语句:将常用的 SQL 查询逻辑封装在存储过程中,并通过调用存储过程来执行查询。存储过程可以提高安全性,因为其内部逻辑已经预先编译,无法被注入攻击所利用。 4. 最小权限原则:确保数据库连接使用的账户具有最小的权限集,仅限于需要的操作。避免使用具有高权限的账户来执行常规查询,以减少潜在攻击的风险。 5. 定期更新和维护:及时安装 SQL Server 的安全补丁和更新,以修复已知的漏洞和安全问题。同时,定期进行数据库维护和监控,及时发现和处理异常情况。 6. 安全审计和日志监控:启用 SQL Server 的安全审计功能,记录和监控数据库的访问和操作日志。及时检查和分析日志,以发现异常行为和潜在的安全问题。 请注意,以上方法可以帮助减少 SQL 注入攻击的风险,但并不能完全消除安全隐患。在进行数据库操作时,始终保持警惕,并采取多层次的安全措施来确保数据的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值