55
Hangi otomatik araçlar var?Web sitemi SQL enjeksiyon saldırıları için nasıl test edebilirim?
A
cevap
14
sqlmap: SQL injection aracı
sqlmap aracı Python ile geliştirilmiş bir otomatik SQL enjeksiyon. Hedefi, web uygulamalarındaki SQL enjeksiyon güvenlik açıklarından yararlanmak ve yararlanmak için şeklindedir. hedef ana bilgisayarda bir veya fazla SQL enjeksiyonu algıladıktan sonra, kullanıcı, DBMS seans kullanıcı ve veritabanı almak, bir geniş arka uç veritabanı yönetim sistem parmak izi gerçekleştirmek için seçenekler çeşitli arasında tercih kullanıcıları numaralandırabilmesidir , şifre sağlama, ayrıcalıklar, veritabanları, tüm kullanıcı veya kullanıcının özel DBMS tablolarını/sütunlarını döküm, kendi kendi SQL SELECT deyimini çalıştırın, dosya sisteminde belirli dosyaları okuyun ve çok daha fazlası.
13
İşte
http://www.darknet.org.uk/2008/09/bsql-hacker-automated-sql-injection-framework/
Ayrıca komut yavrucak uygulama bulmak ve sitenize doğru tutun da mümkündür ... Bu kötü amaçlı yazılım içeriyor şüphelenmek için iyi bir neden var çünkü bağlanmamış, biri, SQL enjeksiyonu kullanmayı severler.
Ancak tüm bunları yapmak yerine, SQL enjeksiyonunu engelleyen bir kitaplık kullanmak daha basit ve kolay değil mi?
+5
Kütüphane bunları engellemek için söylese bile, onu kontrol etmek için çok sesim var. Tam bir kod incelemesi ve testinin yanı sıra kütüphanede hiçbir hata (veya arka kapı) olmadığını nereden biliyorsunuz? –
+0
@Vinko: Uygun bir kütüphane, tüm girdilerde veritabanı katmanının kaçış işlevini (mysql_real_escape_string) çağırır. Bu işlevler güvenlik için kapsamlı bir şekilde incelenir. –
+0
Bir kütüphaneyi ilk önce kontrol etmeden "düzgün" olduğunu nereden biliyorsunuz? Belli bir derecede paranoya sağlıklıdır. –
3
Ticari bir otomatik araç, McAfee'den 'dir. Sitenizi günlük olarak örterler ve yalnızca SQL enjeksiyonu değil, aynı zamanda sunucuda çalışan yazılımların açık ya da güvensiz sürümleri olmamalıdır.
+0
Ölü bir bağlantı gibi görünüyor (ana sayfaya yönlendiriyor). – kenorb
3
İlk olarak SQL enjeksiyon saldırılarına izin veren tekniklerin kullanılmasından nasıl kaçınılmalı?
Dinamik SQL yerine Hazırlanmış Deyimler kullanırsanız, altınsınız - SQL enjeksiyon saldırıları imkansız hale gelir ve önyükleme için daha iyi performans elde edersiniz! Hiçbir zaman kullanıcı tarafından sağlanan dizeyi dinamik SQL'de kullanmayın! Bu, belirli DB'nizin enjeksiyon saldırılarından güvenli olduğu tek yoldur. Hatta otomatik araçlar kör noktaları vardır - sonuçta onlar insanlar tarafından oluşturulan ediyoruz ...
Faydalı kaynak: Oracle Tutorial on Defending against SQL Injection Attacks
1
findbugs aracı statik analizi kullanılarak, Java kodunda potansiyel SQL enjeksiyon saldırıları tespit etmek için bazı desteği vardır. Esas olarak, giriş parametrelerinin, hazırlanan deyim parametreleri olarak kullanılmaktansa, SQL sorguları oluşturmak için kullanıldığı durumları arar.
7
4
SQL Injection 1.2 Gerçekten onların Firefox eklentisi kullanılmaz, ama bunlardan biri SQL enjeksiyon sorunları bulmak içindir.
+2
https://addons.mozilla.org/en-US/firefox/addon/7597/ Firefox eklentisinin bağlantısıdır. IMHO, SQL Enjeksiyonlarını test etmek için bulduğum en kolay araçtır. – Axeva
2
WebCruiser - Web güvenlik açığı tarayıcısı, yalnızca bir web güvenlik tarama aracı değil, aynı zamanda otomatik bir SQL enjeksiyon aracı, bir XPath enjeksiyon aracı ve bir cross-site scripting aracıdır!
0
Biz daha var sadece BSQL :) onları buraya göz atın -
İlgili konular
- 1. Yeni geliştirilmiş mobil web sitemi nasıl test edebilirim Yerel olarak
- 2. Web üzerinde test için SQL Server
- 3. Web sitemi görüntüleyen bir kullanıcının bazı içeriği göremediğini nasıl test edebilirim ve testimin çalıştığından nasıl emin olabilirim?
- 4. Paketim için setup.py'yi nasıl test edebilirim?
- 5. Elle sql enjeksiyonu test etmek için online test sayfasını nereden bulabilirim
- 6. ModelState'i nasıl test edebilirim?
- 7. Bir MTOM web servisini soapUI ile nasıl test edebilirim?
- 8. STDERR'i Test :: More ile nasıl test edebilirim?
- 9. Bir web tarayıcısında asm.js'nin kullanılabilirliğini nasıl test edebilirim?
- 10. Json sonucumu bir ASP.NET MVC3 web sitesinde nasıl test edebilirim?
- 11. Datalandpter var. SQL enjeksiyon için eğilimli güncelleyin?
- 12. Django URL'lerini nasıl test edebilirim?
- 13. Fonksiyon çağrılmadığında nasıl test edebilirim?
- 14. SSIS paketlerimi nasıl test edebilirim?
- 15. MVC Görünümlerini nasıl test edebilirim?
- 16. CanCan'ı konsolda nasıl test edebilirim?
- 17. Rspec: Yinelemeyi nasıl test edebilirim?
- 18. Geçersiz yöntemleri nasıl test edebilirim?
- 19. FluentMigrator geçişlerimi nasıl test edebilirim?
- 20. bir Normal İfade SQL Enjeksiyon
- 21. Webpack paketli web sitemi FUOC'a karşı otomatik olarak nasıl test edilir?
- 22. yığın taşması saldırıları
- 23. Bir kullanıcının web sitemi terk edip etmediğini nasıl anlarım?
- 24. DreamHost DNS kayıtlı web sitemi EC2 örneğime nasıl yönlendiririm?
- 25. Test T-SQL eşitsizlik için
- 26. Bu bir SQL Enjeksiyon Saldırısı örneğidir?
- 27. Sitemdeki güvenlik açıklarını test edebilmem için herhangi bir SQL enjeksiyon aracı var mı?
- 28. SQL enjeksiyon için açıktır bir web sitesi <code>abc.com</code> yoktur sqlmap
- 29. Django'da boş bir sorgulamayı nasıl test edebilirim?
- 30. DelayedJob'u Salatalık ile nasıl test edebilirim?
sqlmap bir sömürü aracıdır, bu mümkün SQL Injection güvenlik açıkları için bir web sitesi tarayamıyorum. –