返回
五大著名免费sql注入漏洞扫描工具

五大著名免费sql注入漏洞扫描工具

ID:11307171

大小:138.21 KB

页数:4页

时间:2018-07-11

五大著名免费sql注入漏洞扫描工具_第1页
五大著名免费sql注入漏洞扫描工具_第2页
五大著名免费sql注入漏洞扫描工具_第3页
五大著名免费sql注入漏洞扫描工具_第4页
资源描述:

《五大著名免费sql注入漏洞扫描工具》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、大量的现代企业采用Web应用程序与其客户无缝地连接到一起,但由于不正确的编码,造成了许多安全问题。Web应用程序中的漏洞可使黑客获取对敏感信息(如个人数据、登录信息等)的直接访问。Web应用程序准许访问者提交数据,并可通过互联网从数据库中检索数据。而数据库是多数Web应用程序的心脏。数据库维持着Web应用程序将特定内容交给访问者的数据,Web应用程序在将信息交给客户、供应商时,也从数据库取得数据。SQL注入攻击是最为常见的Web应用程序攻击技术,它会试图绕过SQL命令。在用户输入没有“净化”时,如果执行这种输入便会表现出一种SQL注入漏

2、洞。检查SQL注入漏洞主要涉及到两方面,一是审计用户的Web应用程序,二是通过使用自动化的SQL注入扫描器执行审记的最佳方法。在此,笔者罗列了一些对Web应用程序开发人员和专业的安全审计人员有价值的SQL注入扫描程序。一、SQLIerSQLIer可以找到网站上一个有SQL注入漏洞的URL,并根据有关信息来生成利用SQL注入漏洞,但它不要求用户的交互。通过这种方法,它可以生成一个UNIONSELECT查询,进而可以强力攻击数据库口令。这个程序在利用漏洞时并不使用引号,这意味着它可适应多种网站。SQLIer通过“true/false”SQL

3、注入漏洞强力口令。借助于“true/false”SQL注入漏洞强力口令,用户是无法从数据库查询数据的,只能查询一个可返回“true”、“false”值的语句。据统计,一个八个字符的口令(包括十进制ASCII代码的任何字符)仅需要大约1分钟即可破解。其使用语法如下,sqlier[选项][URL]。其选项如下:-c:[主机]清除主机的漏洞利用信息-s:[秒]在网页请求之间等待的秒数-u:[用户名]从数据库中强力攻击的用户名,用逗号隔开。-w:[选项]将[选项]交由wget此外,此程序还支持猜测字段名,有如下几种选择:--table-name

4、s[表格名称]:可进行猜测的表格名称,用逗号隔开。--user-fields[用户字段]:可进行猜测的用户名字段名称,用逗号隔开。--pass-fields[口令字段]:可进行猜测的口令字段名称,用逗号隔开。下面说一下其基本用法:例如,假设在下面的URL中有一个SQL注入漏洞:http://example.com/sqlihole.php?id=1我们运行下面这个命令:sqlier-s10http://example.com/sqlihole.php?id=1从数据库中得到足够的信息,以利用其口令,其中的数字“10”表示要在每次查询之间

5、等待10秒钟。如果表格、用户名字段、口令字段名猜测得正确,那么漏洞利用程序会把用户名交付查询,准备从数据库中强力攻击口令。sqlier-s10example.com-uBCable,administrator,root,user4然而,如果内建的字段/表格名称没有猜中正确的字段名,用户就可以执行:sqlier-s10example.com--table-names[table_names]--user-fields[user_fields]--pass-fields[pass_fields]除非知道了正确的表格名、用户名字段、口令字段名

6、,SQLIer就无法从数据库中强力攻击口令。如图1:图1 二、SQLMap:这是一个自动的“盲目”SQL注入工具,它用python开发,它能执行一个动态的数据库管理系统指纹识别,可以完整地穷举远程数据库。其目标是实施一个完整的功能性数据库管理系统工具,它能够利用Web应用程序程序设置的全部缺陷,这些安全缺陷可以导致SQL注入漏洞。在SQLMap检测到目标系统上的一个或多个SQL注入漏洞之后,用户就可以从多种选项中选择,进而执行全面的后端数据库管理系统指纹识别,检索数据库管理系统会话用户和数据库,穷举用户、口令哈希、数据库,运行其自身的S

7、QLSELECT语句,读取文件系统上的特定文件等。此软件完全支持MySQL、Oracle、PostgreSQL、MicrosoftSQLServer等后端数据库管理系统。此外,它还识别微软的Access数据库,以及DB2、Informix、Sybase、Interbase等。其使用方法如下:sqlmap.py[选项]{-u -g -c<配置文件>}其中,-uURL指明目标URL-ggoogledork将googledork结果处理为目标url三、SQLID:此工具是一个SQL注入漏洞挖掘器,是一个命令行实用程序,它能够查找SQL注入漏洞

8、和网站中的常见错误。它可以执行以下几种操作:查找网页中的SQL注入漏洞,测试提交的表单,查找SQL注入漏洞的可能性。它还支持HTTP、HTTPS、基本身份验证等。其用法如下:Sqid.rb[选项]其选项有以

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。