Time-based MSSQL 질문

24.03.20 20:24 작성 조회수 64

타임베이스의 공격중에서 MSSQL에서

if 조건문을 사용하셨는데

제가 직접 해보니 case when은 사용하지 못하던데

왜 case when은 사용하지 못하는 건가요??

모의해킹 실무자가 알려주는, SQL Injection 고급 공격 기법 : PART 2

[실습1-4] 각 DBMS에 따른 Time-Based SQL 문법 테스트

강의실 바로가기

답변 1

답변을 작성해보세요.

크리핵티브

2024.03.21

CASE WHEN 구문은 SELECT, UPDATE, INSERT 등의 구문 없이 단독 사용될 수 없습니다.

그러나 IF문은 SELECT 절 없이 단독 사용이 가능합니다.

그리고 WAITFOR DELAY은 SELECT 절에 사용될 수 없지만, IF 문에 사용 가능합니다.

따라서, MSSQL에서 타임베이스 공격 시 IF문 + WAITFOR DELAY 조합되서 사용이 됩니다.