2286浏覽量

十大(dà)關系數據庫SQL注入工(gōng)具一(yī)覽

來源: 時間:2013-05-31

衆所周知(zhī),SQL注入攻擊是最爲常見的Web應用程序攻擊技術。同時SQL注入攻擊所帶來的安全破壞也是不可彌補的。以下(xià)羅列的10款SQL工(gōng)具可幫助管理員(yuán)及時檢測存在的漏洞。

BSQL Hacker

BSQL Hacker是由Portcullis實驗室開(kāi)發的,BSQL Hacker 是一(yī)個SQL自動注入工(gōng)具(支持SQL盲注),其設計的目的是希望能對任何的數據庫進行SQL溢出注入。 BSQL Hacker的适用群體(tǐ)是那些對注入有經驗的使用者和那些想進行自動SQL注入的人群。BSQL Hacker可自動對Oracle和MySQL數據庫進行攻擊,并自動提取數據庫的數據和架構。

The Mole

The Mole是一(yī)款開(kāi)源的自動化SQL注入工(gōng)具,其可繞過IPS/IDS(入侵防禦系統/入侵檢測系統)。隻需提供一(yī)個URL和一(yī)個可用的關鍵字,它就能夠檢測注入點并利用。The Mole可以使用union注入技術和基于邏輯查詢的注入技術。The Mole攻擊範圍包括SQL Server、MySQL、Postgres和Oracle數據庫。

Pangolin

Pangolin是一(yī)款幫助滲透測試人員(yuán)進行SQL注入(SQL Injeciton)測試的安全工(gōng)具。Pangolin與JSky(Web應用安全漏洞掃描器、Web應用安全評估工(gōng)具)都是NOSEC公司的産品。Pangolin具備友好的圖形界面以及支持測試幾乎所有數據庫(Access、MSSql、MySql、Oracle、Informix、DB2、Sybase、PostgreSQL、Sqlite)。Pangolin能夠通過一(yī)系列非常簡單的操作,達到最大(dà)化的攻擊測試效果。它從檢測注入開(kāi)始到最後控制目标系統都給出了測試步驟。Pangolin是目前國内使用率最高的SQL注入測試的安全軟件。

Sqlmap

Sqlmap是一(yī)個自動SQL 注入工(gōng)具。其可勝任執行一(yī)個廣泛的數據庫管理系統後端指紋,

檢索DBMS數據庫、usernames、表格、列、并列舉整個DBMS信息。Sqlmap提供轉儲數據庫表以及MySQL、PostgreSQL、SQL Server服務器下(xià)載或上傳任何文件并執行任意代碼的能力。

Havij

Havij是一(yī)款自動化的SQL注入工(gōng)具,它能夠幫助滲透測試人員(yuán)發現和利用Web應用程序的SQL注入漏洞。Havij不僅能夠自動挖掘可利用的SQL 查詢,還能夠識别後台數據庫類型、檢索數據的用戶名和密碼hash、轉儲表和列、從數據庫中(zhōng)提取數據,甚至訪問底層文件系統和執行系統命令,當然前提是有 一(yī)個可利用的SQL注入漏洞。Havij支持廣泛的數據庫系統,如 MsSQL, MySQL, MSAccess and Oracle。 Havij支持參數配置以躲避IDS,支持代理,後台登陸地址掃描。

Enema SQLi

Enema SQLi與其他 SQL注入工(gōng)具不同的是,Enema SQLi不是自動的,想要使用Enema SQLi需要一(yī)定的相關知(zhī)識。Enema SQLi能夠使用用戶自定義的查詢以及插件對SQL Server和MySQL數據庫進行攻擊。支持基于error-based、Union-based和blind time-based的注入攻擊。

SQLninja

SQLninja軟件用Perl編寫,符合GPLv2标準。SQLninja的目的是利用Web應用程序中(zhōng)的SQL注入式漏洞,它依靠微軟的SQL Server作爲後端支持。其主要的目标是在存在着漏洞的數據庫服務器上提供一(yī)個遠程的外(wài)殼,甚至在一(yī)個有着嚴格的防範措施的環境中(zhōng)也能如此。在一(yī)個SQL注入式漏洞被發現以後,企業的管理員(yuán)特别是滲透攻擊的測試人員(yuán)應當使用它,它能自動地接管數據庫服務器。現在市場上有許多其它的SQL注入式漏洞工(gōng)具,但SQLninja與其它工(gōng)具不同,它無需抽取數據,而着重于在遠程數據庫服務器上獲得一(yī)個交互式的外(wài)殼,并将它用作目标網絡中(zhōng)的一(yī)個立足點。

sqlsus

sqlsus是一(yī)個開(kāi)放(fàng)源代碼的MySQL注入和接管工(gōng)具,sqlsus使用perl編寫并基于命令行界面。sqlsus可以獲取數據庫結構,注入你自己的SQL語句,從服務器下(xià)載文件,爬行web站點可寫目錄,上傳和控制後門,克隆數據庫等。

Safe3 SQL Injector

Safe3 SQL Injector是一(yī)個最強大(dà)和最易使用的滲透測試工(gōng)具,它可以自動檢測和利用SQL注入漏洞和數據庫服務器的過程中(zhōng)。Safe3 SQL Injector具備讀取MySQL、Oracle、PostgreSQL、SQL Server、Access、SQLite、Firebird、Sybase、SAP MaxDB等數據庫的能力。同時支持向MySQL、SQL Server寫入文件,以及SQL Server和Oracle中(zhōng)執行任意命令。Safe3 SQL Injector也支持支持基于error-based、Union-based和blind time-based的注入攻擊。

SQL Poizon

SQL Poizon的圖形界面使用戶無需深厚的專業知(zhī)識便能夠進行攻擊,SQL Poizon掃描注入工(gōng)具内置浏覽器可幫助查看注入攻擊帶來的影響。SQL Poizon充分(fēn)利用搜索引擎“dorks”掃描互聯網中(zhōng)存在SQL注入漏洞的網站。

聯系我(wǒ)們

一(yī)次需求提交或許正是成就一(yī)個出色産品的開(kāi)始。
歡迎填寫表格或發送合作郵件至: qczsky@126.com

大(dà)理青橙科技

電(diàn)話(huà):13988578755 13988578755

郵箱:qczsky@126.com

地址:大(dà)理市下(xià)關龍都春天10層