xray SQL注入延迟盲注时间和配置文件中的不一致

SQL注入延迟盲注时间和配置文件中的不一致

Open xsser opened this issue 3 years ago • 3 comments

最近看到一个请求的payload是 timezone":"8/**/and/**/2=DBMS_PIPE.RECEIVE_MESSAGE('f',0)"

只延迟0秒。。？？？这是在搞笑。。

X-ray版本是version: 1.8.2/79e7dd56/COMMUNITY

配置里是

Nov 25 '21 08:11 xsser

这两个配置没有关系，延迟 0 秒的是用于验证网络延迟的，是预期行为。

Nov 25 '21 09:11 virusdefender

这两个配置没有关系，延迟 0 秒的是用于验证网络延迟的，是预期行为。

那这个延迟注入0秒的。。意义是…… ？？

Nov 26 '21 02:11 xsser

这两个配置没有关系，延迟 0 秒的是用于验证网络延迟的，是预期行为。

我这是爆出来的漏洞payload是这个，如果是用于验证网络延迟那应该是你扫描器自己的参数使用，和运营的人员看到的漏洞没关系吧

Dec 02 '21 05:12 xsser

这个的目的是为了查看让网站sleep 0秒时,网站的响应时间,从而判断真实的让其sleep的时间的准确性

Dec 28 '22 07:12 Jarcis-cy