Perché non è raccomandato l'uso della cieca basata sul tempo per i nomi di tabelle / colonne di bruceforcing?

2

Quando non disponi di privilegi sull'utente di sessione che stai utilizzando con sqlmap questo avviso viene visualizzato quando provi a recuperare i nomi di tabella / colonna, offrendoti nomi di forza bruta usando un file di dizionario,

do you want to use common column existence check? [y/N/q] y
[03:37:06] [WARNING] it's not recommended to use 'AND/OR time-based blind' and/or 'stacked queries' for common column existence check
are you sure you want to continue? [y/N] 

Perché non è raccomandato?

    
posta autorun 14.09.2014 - 08:40
fonte

1 risposta

0

Questo è la condizione che causa l'avviso da mostrare :

if kb.columnExistsChoice is None and not any(_ for _ in kb.injection.data if _ not in (PAYLOAD.TECHNIQUE.TIME, PAYLOAD.TECHNIQUE.STACKED)) and not conf.direct:

Le singole condizioni significano:

  • kb.columnExistsChoice is None - precedente risposta alla domanda successiva "sei sicuro di voler continuare?"
  • not any(_ for _ in kb.injection.data if _ not in (PAYLOAD.TECHNIQUE.TIME, PAYLOAD.TECHNIQUE.STACKED)) - se non ci sono altre iniezioni usando una tecnica diversa dal tempo o impilate
  • not conf.direct - se non è una connessione diretta

Quindi, in conclusione, l'avviso è mostrato se

  • non è ancora stato mostrato e
  • non c'è altra iniezione che usi una tecnica diversa dal tempo o impilata, e
  • non è una connessione diretta.

Il motivo è probabilmente dovuto al fatto che le tecniche basate sul tempo e impilate richiedono molto tempo e potrebbe richiedere un po 'di tempo per terminare.

    
risposta data 17.09.2014 - 21:29
fonte

Leggi altre domande sui tag