5. Time-based концепции

Что является главным отличием Time-based SQL-инъекции от обычной инъекции?

База данных сама присылает данные по расписанию в 12:00 Хакер использует время только для взлома пароля админа Хакер ориентируется на время ответа сервера; база данных "засыпает" на несколько секунд, если условие хакера истинно Ошибки базы данных выводятся с задержкой в 5 секунд

Какая функция используется для создания задержки в PostgreSQL?

WAITFOR DELAY '00:00:05' SLEEP(5) pg_sleep(5) delay(5000)

Чем опасен чрезмерный уровень Time-based инъекций для вашего Go-сервера (помимо утечки данных)?

База данных может перегреться Go-компилятор перестанет работать Хакер может перегрузить пул соединений (Connection Pool Exhaustion); все доступные каналы связи с базой будут "спать", и обычные пользователи не смогут зайти на сайт (DoS) База данных автоматически удалит все пароли

Какой SQL-оператор часто используется вместе с функцией задержки для ветвления логики атаки?

GROUP BY CASE WHEN (условие) THEN pg_sleep(5) ELSE pg_sleep(0) END ORDER BY DISTINCT

Как в языке Go наиболее надежно защититься от "зависших" SQL-запросов (включая Time-based SQLi)?

Перезагружать сервер каждые 5 минут Использовать time.Sleep после каждого запроса Использовать context.WithTimeout и метод db.QueryContext(); Go принудительно разорвет соединение через заданное время (например, через 3 секунды) Удалить все функции сна в базе данных

Верно ли утверждение: "Если я установил `SetMaxOpenConns(100)`, мой сайт застрахован от DoS-атак через Time-based SQLi"?

Да, 100 соединений хватит на всех Да, но только если база данных PostgreSQL НЕТ, 100 запросов хакера с pg_sleep(30) заблокируют все 100 каналов, и на 101-м запросе ваш сервер перестанет отвечать новым пользователям Нет, эта настройка вообще не влияет на базу

Какую аномалию можно увидеть в логах веб-сервера при активной Time-based атаке?

Ответы со статус-кодом 404 Not Found Очень короткое время ответа в 1 мс Огромное время ответа (например, 5000 мс или больше) на безобидные с виду запросы к API Изменение цвета текста на странице