Sikkerhed

Liste over BEDSTE SQLi-VÆRKTØJER

Liste over BEDSTE SQLi-VÆRKTØJER
SQL-injektion, også kaldet SQLi, er en teknik, hvor datadrevne applikationer kan angribes via skadelig injiceret SQL-kode. Angribere kan få adgang til, ændre eller ødelægge databaser ved hjælp af SQLi. Det er en af ​​de mest almindelige teknikker, der bruges i Web Hacking.

Mens SQL Injection kan være farligt, kan det være et meget hektisk job at udføre forskellige kommandoer ved hjælp af webside-input for at udføre SQLi. Fra indsamling af data til udvikling af den rigtige nyttelast kan være et meget tidskrævende og undertiden frustrerende job. Det er her, værktøjerne kommer i spil. Der er adskillige værktøjer til rådighed til test og udnyttelse af forskellige typer SQL-injektioner. Vi vil diskutere nogle af de bedste.

Havij:

Havij (som betyder gulerod på persisk) er et værktøj fra ITSecTeam, et iransk sikkerhedsfirma. Det er et GUI-aktiveret, fuldautomatisk SQLi-værktøj og understøtter en række SQLi-teknikker. Det blev udviklet til at hjælpe penetrationstestere med at finde sårbarheder på websider. Det er et brugervenligt værktøj og indeholder også avancerede funktioner, så det er godt for både begyndere og professionelle. Havij har også en Pro-version. Det spændende ved Havij er den 95% succesrige injektionsrate på sårbare mål. Havij er kun lavet til windows, men man kan bruge vin til at få det til at fungere på Linux. Selvom ITSecTeams officielle side har været nede i lang tid, er Havij og Havij Pro tilgængelige på mange websteder og GitHub Repos.

BBQSQL:

BBQSQL kendt som 'Blind SQL' injektionsramme hjælper dig med at løse problemer, når de tilgængelige udnyttelsesværktøjer ikke fungerer. Skrevet i python er det en slags semi-automatisk værktøj, der tillader tilpasning til en vis grad for komplekse SQL-injektionsresultater. BBQSQL stiller flere spørgsmål i en menustyret tilgang og opretter derefter injektionen / angrebet i henhold til brugerens svar. Det er et meget alsidigt værktøj med indbygget brugergrænseflade for at gøre brugen lettere. Og brugen af ​​python gevent gør det ret hurtigt. Det giver oplysninger om cookies, filer, HTTP-godkendelse, proxyer, URL, HTTP-metode, overskrifter, kodningsmetoder, omdirigeringsadfærd osv. Kravene til forbrug inkluderer opsætning af parametre, indstillinger og derefter konfiguration af angrebet efter behov. Værktøjets konfiguration kan ændres til enten at bruge en frekvens eller en binær søgningsteknik. Det kan også afgøre, om SQL-injektionen fungerede ved blot at lede efter nogle specifikke værdier i HTTP-svarene fra applikationen. En fejlmeddelelse vises af databasen, der klager over den forkerte syntaks for SQL-forespørgsel, hvis angriberen med held udnytter SQL-injektion. Den eneste forskel mellem blind SQL og normal SQL-injektion er den måde, data hentes fra databasen på.

Installer BBQSQL:

$ apt-GET installer bbqsql

Leviathan:

Ordet Leviathan henviser til et havdyr, havdjævel eller havmonster. Værktøjet er så navngivet på grund af dets angribende funktion. Værktøjet blev først lanceret på Black Hat USA 2017 Arsenal. Det er en ramme, der består af mange open source-værktøjer, herunder masscan, ncrack, DSSS osv. Til at udføre forskellige handlinger, herunder SQLi, brugerdefineret udnyttelse osv. Værktøjerne kan også bruges i kombination. Det bruges almindeligvis til penetrationstestopgaver, som at opdage maskiner og identificere de sårbare, at opregne tjenester, der arbejder på disse enheder og finde angrebsmuligheder gennem angrebssimulering. Det kan identificere sårbarheder i Telnet, SSH, RDP, MYSQL og FTP. Leviathan er meget dygtig til at kontrollere SQL-sårbarheder på webadresser. Det grundlæggende mål med Leviathan-værktøjet er at udføre massive scanninger på mange systemer på én gang. Færdigheden i at kontrollere SQL-sårbarheder gør leviathan. De afhængigheder, der kræves for at bruge Leviathan Framework, er bs4, shodan, google-API-python-client, lxml, paramiko, anmodninger.

Installer Leviathan:

$ Git klon https: // github.com / leviathan-framework / leviathan.git
$ Cd leviathan
$ Pip installation -r krav.txt

Hvid enke:

Whitewidow er et almindeligt anvendt værktøj til sårbarhedsscanning i applikationssikkerhed og penetrationstest. De fleste mennesker, der er interesseret i dette værktøj, er testere og fagfolk inden for sikkerhed. Whitewidow er også open source og er en automatiseret SQL-sårbarhedsscanner, der kan bruge en filliste eller Google til at skrabe potentielt sårbare websteder. Hovedformålet med dette værktøj var at lære og fortælle brugerne, hvordan sårbarhed ser ud. WhiteWidow kræver nogle afhængigheder for at arbejde, såsom: mechanize, nokogiri, rest-client, webmock, rspec og vcr. Det er udviklet på et rubin programmeringssprog. Tusinder af nøje undersøgt forespørgsler bruges til at skrabe Google for at finde sårbarheder på forskellige websteder. Når du starter Whitewidow, begynder det med det samme at kontrollere sårbare websteder. De kan senere udnyttes manuelt.

Installer WhiteWidow:

$ Git klon https: // github.com / WhitewidowScanner / whitewidow.git
$ Cd whitewidow
$ Bundle installation

jSQL-injektion:

jSQL er et java-baseret automatisk SQL Injection-værktøj, deraf navnet jSQL.
Det er FOSS og er kompatibelt på tværs af platforme. Det er samlet ved hjælp af biblioteker som Hibernate, Spock og Spring. jSQL Injection understøtter 23 forskellige databaser inklusive Access, MySQL, SQL Server, Oracle, PostgreSQL, SQLite, Teradata, Firebird, Ingris og mange flere. jSQL Injection er placeret på GitHub og bruger platform Travis CI til kontinuerlig integration. Det kontrollerer for flere injektionsstrategier: Normal, Fejl, Blind og Tid. Det har andre funktioner såsom søgning efter administrationssider, brutal kraft af adgangskodeshash, oprettelse og visualisering af web-shell og SQL-shell osv. jSQL Injection kan også læse eller skrive filer.
jSQL-injektion er tilgængelig i operativsystemer som Kali, Parrot OS, Pentest Box, BlackArch Linux og andre pen-test distroer.

Installer jSQL:

$ apt-GET installer jsql

SQLmap

SQLmap er et automatiseret værktøj skrevet i python, der automatisk kontrollerer for SQL-sårbarheder, udnytter dem og overtager databaseservere. Det er gratis og open source-software og er sandsynligvis det mest anvendte værktøj til pen-test af SQLi-sårbare mål. Det er gratis og open source-software med en utrolig kraftig detektionsmotor. Oprettet af Daniele Bellucci i 2006, blev det senere udviklet og promoveret af Bernardo Damele. Det mest bemærkelsesværdige trin i udviklingen af ​​sqlmap var Black Hat Europe 2009, der kom i fokus med al medieopmærksomhed. SQLmap understøtter de fleste typer databaser, SQL Injection-teknikker og cracking af adgangskoder baseret på ordboksbaserede angreb. Det kan også bruges til at redigere / downloade / uploade filer i en database. Meterpreters (metasploit) getsystem-kommando bruges til eskalering af privilegier. For ICMP-tunneling tilføjes et impacketbibliotek. SQLmap giver hentning af resultater ved hjælp af DNS-rekursiv opløsning meget hurtigere end tidsbaserede eller boolske-baserede metoder. SQL-forespørgsler bruges til at udløse krævede DNS-anmodninger. SQLmap understøttes af python 2.6,2.7 og python 3 og fremefter.
Ifølge Ed Skoudis afhænger et komplet SQLmap-angreb af en 5-trins model:

  1. Rekognoscering
  2. Scanning
  3. Udnyt
  4. Holder adgang
  5. Dækker spor

Installer SQLmap:

$ Apt-GET installer sqlmap

Eller

$ Git klon https: // github.com / sqlmapproject / sqlmap.git
$ Cd sqlmap
$ Python sqlmap.py

Selvom denne liste er kompakt, består den af ​​de mest populære værktøjer, der bruges til at opdage og udnytte SQLi. SQL Injection er en meget almindelig sårbarhed og findes i en række forskellige former, så værktøjerne er virkelig nyttige til påvisning af disse sårbarheder og hjælper mange penetrationstestere og script-kiddies til at gøre jobbet på en rigtig nem måde.

Glad injektion!

Ansvarsfraskrivelse: Ovenstående skriftlige artikel er kun til uddannelsesmæssige formål. Det er brugerens ansvar at ikke bruge ovennævnte værktøjer på et mål uden tilladelse.

Mus WinMouse giver dig mulighed for at tilpasse og forbedre musemarkørens bevægelse på Windows-pc
WinMouse giver dig mulighed for at tilpasse og forbedre musemarkørens bevægelse på Windows-pc
Hvis du vil forbedre standardfunktionerne for din musemarkør, skal du bruge freeware WinMouse. Det tilføjer flere funktioner, der hjælper dig med at f...
Mus Museklik på venstre museknap fungerer ikke på Windows 10
Museklik på venstre museknap fungerer ikke på Windows 10
Hvis du bruger en dedikeret mus med din bærbare computer eller stationære computer, men musens venstre-klik-knap fungerer ikke på Windows 10/8/7 af en...
Mus Markøren hopper eller bevæger sig tilfældigt, mens han skriver i Windows 10
Markøren hopper eller bevæger sig tilfældigt, mens han skriver i Windows 10
Hvis du finder ud af, at din musemarkør hopper eller bevæger sig alene, automatisk tilfældigt, mens du skriver Windows-bærbar computer eller computer,...