Статьи DDos + SQL Injection

Dos + SQL Injection

Предисловие​

Эта небольшая статейка описывает как можно произвести Dos на сайт при помощи SQL Injection.

Intro​

Бывают такие случаи, что есть SQL Injection на сайте, но по каким-то причинам нельзя подобрать столбцы или поля. Но всё равно хочется как-то навредить админу сайта))Остаётся только Dos, о чём я сейчас и напишу.

Start​

К примеру, мы имеем сайт www.tester.com. Пусть нефильтруемая переменная будет id, тоесть приходят запросы типа www.tester.com/index.php?id=-1+union+select+1,2,3,version(),5.
Едем дальше
В SQL есть ф-ция benchmark, она нужна для вычисления заданного выражения заданное колл-во раз.
Пример:

PHP:

BENCHMARK(10000, now()) - означает выполнить 10000 раз now().

(now() отправляет текущюю дату в формате ГГГГ-ММ-ДД ЧЧ:ММ:СС, этот запрос не сможет легко обработать даже мощный сервер.
Таким-же образом можно прописать

PHP:

ENCHMARK(100000, BENCHMARK(10000, NOW())) 

Эффект думаю будет понятен))))
Запрос должен выглядеть так:

PHP:

http://www.tester.com/index.php?id=1+BENCHMARK(100000, BENCHMARK(10000, NOW()))

Чем больше нулей, тем больше длится Dos.

Вот и всё

 

юзай поиск. эта хня тут 100% была уже.

и это не Ddos, а просто Dos.

 

Да, и запрос md5(); будет грузить больше, чем нау =\

 

Поиск на эту тему ничего не дал)
Насчёт md5(); я знаю, решил привести ещё один запрос.

 

http://forum.antichat.ru/thread19605.html
мотай в самый низ статьи.

 

Имхо глупо называть статьей описание одной функции

 

это включено в любой статье про sql injection, даже в моей, не говорю про статьи cash, вроде его

 

мда, долго такой ДДОС продержится ... может имеется ввиду сервер, который никем не администрируется и работает издавна сам собой?
мне такое Алиса помоему даже в космополитане своем показывала...

 

на ачате лучше или не писать на тему скуль или писать что то, что еще не известно =)