Glossary entry (derived from question below)
English term or phrase:
time based
Russian translation:
использующая отсчёт времени
Added to glossary by
Vladimir Shelukhin
May 5, 2010 07:46
14 yrs ago
English term
time based
English to Russian
Tech/Engineering
IT (Information Technology)
Безопасность
перевод нужен именно названия уязвимости:
CGI Generic SQL Injection (blind, time based)
-
контекст общий:
A CGI application hosted on the remote web server is potentially
prone to SQL injection attack.
By sending specially crafted parameters to one or more CGI scripts hosted on the remote web server, Nessus was able to get a slower response, which suggests that it may have been able to modify the behavior of the application and directly access the underlying
database.
An attacker may be able to exploit this issue to bypass
authentication, read confidential data, modify the remote database, or even take control of the remote operating system.
---
думаю, что тут речь об уязвимости вида Time-Delay SQL Injection суть которой:
A method used here to extract the data is known as time delay SQL injection, and works on the basis that true or false queries can be answered by the amount of time a request takes to complete...
At the very lowest level, all data stored in the database is just a binary series of ones and zeros. This means that any data in the database can be extracted using a sequence of true/false questions...
CGI Generic SQL Injection (blind, time based)
-
контекст общий:
A CGI application hosted on the remote web server is potentially
prone to SQL injection attack.
By sending specially crafted parameters to one or more CGI scripts hosted on the remote web server, Nessus was able to get a slower response, which suggests that it may have been able to modify the behavior of the application and directly access the underlying
database.
An attacker may be able to exploit this issue to bypass
authentication, read confidential data, modify the remote database, or even take control of the remote operating system.
---
думаю, что тут речь об уязвимости вида Time-Delay SQL Injection суть которой:
A method used here to extract the data is known as time delay SQL injection, and works on the basis that true or false queries can be answered by the amount of time a request takes to complete...
At the very lowest level, all data stored in the database is just a binary series of ones and zeros. This means that any data in the database can be extracted using a sequence of true/false questions...
Proposed translations
(Russian)
4 +1 | использующая отсчёт времени | Vladimir Shelukhin |
3 +1 | с использованием временных задержек | Igor Boyko |
3 | с учетом времени | Evgeny Terekhin |
Change log
May 12, 2010 08:10: Vladimir Shelukhin Created KOG entry
Proposed translations
+1
36 mins
Selected
использующая отсчёт времени
Или основанная на отсчёте времени.
Peer comment(s):
agree |
sas_proz
: с отсчетом времени// Так в этом и суть. Вы не можете напрямую наблюдать результат внедрения SQL (может, табулицу удалили), но можете косвенно судить об эффекте - по времени реакции.
8 hrs
|
Спасибо! Но этот ваш вариант как-то не очень: выходит какая-то инъекция, и к ней ещё отсчёт… Пусть уж длиннее, но понятнее.
|
4 KudoZ points awarded for this answer.
Comment: "Спасибо!"
4 mins
с учетом времени
.
+1
9 mins
с использованием временных задержек
***
--------------------------------------------------
Note added at 12 мин (2010-05-05 07:58:57 GMT)
--------------------------------------------------
Double Blind SQL Injection основана на временных задержках...
По умолчанию Sql-injection utilities [L1te version] ... Находит инжекшины на основе вывода error'ов на страницу (не работает на блайндах). ... перебора на ***основании временных задержек*** в выполняемых запросах". ..
Тогда результат выполнения SQL-injection мы можем наблюдать на паге вывода ... Применение временных задержек это своего рода переход ко второму измерению.
--------------------------------------------------
Note added at 13 мин (2010-05-05 07:59:55 GMT)
--------------------------------------------------
Слепая SQL-инъекция
Слепая SQL-инъекция (англ. Blind SQL Injection) – метод SQL-инъекции при котором аналитическая информация добывается взломщиком не на основе сообщений об ошибках, а на основе логических конструкций.
Есть достаточно много утилит, позволяющих автоматизировать процесс. Например, Bsqlbf2 (www.514.es/html/pen-test), которая представляет собой скрипт на перле с gui-интерфейсом. Поддерживает передачу методами get и post, позволяет использовать брутфорс с использованием словаря или по наборам символов, включающим в себя цифры, md5-хэши, символы или пользовательский набор. Утилита поддерживает работу через прокси-сервер, с поддержкой авторизации, причем она также позволяет задать и список серверов, через которые будут идти запросы. Кроме того, есть поддержка работы с cookies. Также утилита позволяет задать произвольные значения заголовков user-agent для запросов, для которых также можно создать список и сохранить его в файл. Для обхода ids утилита может использовать временные интервалы между запросами, причем ***поддерживаются два вида задания задержек — конкретное значение или временный интервал***, — из которых случайным образом выбирается текущее значение.
http://wiki.xakep.ru/(S(5uhjt545l4gv4z45voop33fz))/Print.asp...
--------------------------------------------------
Note added at 12 мин (2010-05-05 07:58:57 GMT)
--------------------------------------------------
Double Blind SQL Injection основана на временных задержках...
По умолчанию Sql-injection utilities [L1te version] ... Находит инжекшины на основе вывода error'ов на страницу (не работает на блайндах). ... перебора на ***основании временных задержек*** в выполняемых запросах". ..
Тогда результат выполнения SQL-injection мы можем наблюдать на паге вывода ... Применение временных задержек это своего рода переход ко второму измерению.
--------------------------------------------------
Note added at 13 мин (2010-05-05 07:59:55 GMT)
--------------------------------------------------
Слепая SQL-инъекция
Слепая SQL-инъекция (англ. Blind SQL Injection) – метод SQL-инъекции при котором аналитическая информация добывается взломщиком не на основе сообщений об ошибках, а на основе логических конструкций.
Есть достаточно много утилит, позволяющих автоматизировать процесс. Например, Bsqlbf2 (www.514.es/html/pen-test), которая представляет собой скрипт на перле с gui-интерфейсом. Поддерживает передачу методами get и post, позволяет использовать брутфорс с использованием словаря или по наборам символов, включающим в себя цифры, md5-хэши, символы или пользовательский набор. Утилита поддерживает работу через прокси-сервер, с поддержкой авторизации, причем она также позволяет задать и список серверов, через которые будут идти запросы. Кроме того, есть поддержка работы с cookies. Также утилита позволяет задать произвольные значения заголовков user-agent для запросов, для которых также можно создать список и сохранить его в файл. Для обхода ids утилита может использовать временные интервалы между запросами, причем ***поддерживаются два вида задания задержек — конкретное значение или временный интервал***, — из которых случайным образом выбирается текущее значение.
http://wiki.xakep.ru/(S(5uhjt545l4gv4z45voop33fz))/Print.asp...
Note from asker:
Спасибо, с "слепой" понятно, на слуху... а вот предмет обсуждения вызывает вопрос... |
Discussion
«SQL-инъекция с использованием временных задержек» подойдёт? Хотя я бы вообще не переводил такие конструкции, просто давая экспликацию при первом употреблении. Нормальный человек, кому НУЖНО читать подобные тексты, обязан понимать английский, как приличный врач понимает латынь. А прочим не поможет и перевод.
<br>
SQL-инъекция с учетом времени?