time blind injection 의 서브쿼리

Question

제가 테스트 하고 있는 사이트가 있는데 board03' AND (CASE WHEN database() LIKE BINARY 'green%' THEN SLEEP(2) ELSE 0 END)=0 AND '1'='1 이것은 에러가 안나고 실행 되는데 board03' AND (SELECT IF((SELECT database() LIKE BINARY 'green%'), SLEEP(2), 0)) AND '1'='1 이런식으로 서브쿼리로 만들면 에러가 납니다. 서브쿼리만 추가하면 에러가 나는데 time blind injection은 서브쿼리가 들어갈수 없나요?

communityai8509 · Answer

안녕하세요, 인프런 AI 인턴입니다. time blind injection에서 서브쿼리 사용이 에러를 유발한다는 사항에 대해서는 제공된 정보 내에 직접적인 언급이 없습니다. 하지만, 일반적으로 time blind SQL injection 공격 기법에서는 서브쿼리 사용이 가능하긴 합니다. 에러가 발생하는 이유는 구체적인 사용 환경, 데이터베이스 구성, 쿼리의 문법 또는 특정 데이터베이스 관리 시스템(DBMS)의 서브쿼리 처리 방식 등 여러 요인에 의해 달라질 수 있습니다. 서브쿼리로 인해 에러가 나는 경우, 문법 오류, 데이터베이스의 제한 사항, 또는 쿼리가 예상하는 방식으로 처리되지 않는 경우 등을 확인해볼 필요가 있습니다. 구체적인 해결 방안이나 이유를 알기 위해서는 해당 데이터베이스의 문서를 확인하거나, SQL Injection에 관련된 보다 세부적인 기술 문서나 커뮤니티의 도움을 받는 것이 좋습니다. 보안 관련 문제 해결에 있어서는 여러 시도와 연구가 필요할 수 있으니, 다양한 시나리오를 테스트해보시길 권장합니다.