55
Có công cụ tự động nào?Tôi làm cách nào để kiểm tra trang web của mình cho các cuộc tấn công SQL injection?
A
Trả lời
14
sqlmap: một công cụ SQL injection
sqlmap là một SQL injection tự động công cụ phát triển bằng Python. Mục tiêu của nó là để phát hiện và tận dụng lợi thế của lỗ hổng SQL tiêm trên web ứng dụng. Khi nó phát hiện một hoặc tiêm SQL thêm về host mục tiêu , người dùng có thể lựa chọn trong số rất nhiều các tùy chọn để thực hiện một quản lý cơ sở dữ liệu hệ thống vân tay rộng back-end, lấy DBMS sử dụng phiên và cơ sở dữ liệu, liệt kê người dùng , băm mật khẩu, đặc quyền, cơ sở dữ liệu , đổ toàn bộ hoặc bảng/cột DBMS cụ thể, chạy câu lệnh SQL SELECT riêng của mình, đọc các tệp cụ thể trên hệ thống tệp và nhiều hơn nữa.
13
Dưới đây là một, không liên kết kể từ khi có lý do chính đáng để nghi ngờ nó có chứa phần mềm độc hại ...
http://www.darknet.org.uk/2008/09/bsql-hacker-automated-sql-injection-framework/
Bạn cũng có thể tìm thấy một ứng dụng Kiddy kịch bản và mục tiêu nó ở trang web của bạn, họ thích sử dụng SQL injection.
Nhưng thay vì làm tất cả những điều đó, việc sử dụng thư viện có ngăn chặn SQL injection trở nên đơn giản và dễ dàng hơn không?
+5
Tôi tìm thấy nó rất âm thanh để kiểm tra nó anyway, ngay cả khi thư viện nói để ngăn chặn chúng. Làm thế nào để bạn biết không có lỗi (hoặc backdoor) trong thư viện, bên cạnh việc xem xét và kiểm tra mã toàn diện? –
+0
@Vinko: vì một thư viện thích hợp sẽ đơn giản gọi hàm thoát của lớp cơ sở dữ liệu (mysql_real_escape_string) trên tất cả các đầu vào. Các chức năng này được xem xét kỹ lưỡng để bảo mật. –
+0
Và làm thế nào để bạn biết một thư viện là "thích hợp" mà không kiểm tra nó trước? Một mức độ hoang tưởng nhất định là lành mạnh. –
3
Công cụ tự động hóa thương mại là Scan Alert từ McAfee. Họ làm cho trang web của bạn hàng ngày và báo cáo bất kỳ lỗ hổng nào - không chỉ SQL injection, mà còn những thứ như các cổng không nên mở hoặc các phiên bản phần mềm không an toàn đang chạy trên máy chủ.
+0
Âm thanh giống như liên kết chết (chuyển hướng đến trang chủ). – kenorb
3
Làm cách nào đơn giản tránh việc sử dụng các kỹ thuật cho phép SQL injection xâm nhập ngay từ đầu?
Nếu bạn sử dụng báo cáo được chuẩn bị thay vì SQL động, bạn là vàng - tấn công SQL injection trở thành không thể, và bạn nhận được hiệu suất tốt hơn để khởi động! Không bao giờ sử dụng chuỗi do người dùng cung cấp trong SQL động! Đây là cách duy nhất để được nhất định rằng DB của bạn được an toàn khỏi các cuộc tấn công tiêm. Ngay cả các công cụ tự động có điểm mù - chúng được tạo ra bởi con người sau khi tất cả ...
tài nguyên hữu ích: Oracle Tutorial on Defending against SQL Injection Attacks
1
Công cụ findbugs có một số hỗ trợ cho việc phát hiện các cuộc tấn công SQL injection tiềm năng trong mã Java, sử dụng phân tích tĩnh. Về cơ bản nó sẽ tìm kiếm các trường hợp các tham số đầu vào được sử dụng để xây dựng các truy vấn SQL hơn là được sử dụng như các tham số câu lệnh đã chuẩn bị.
7
4
Tôi đã không thực sự sử dụng trình duyệt Firefox của họ plug-in, nhưng một trong số họ có nghĩa là để tìm các vấn đề SQL injection.
+2
https://addons.mozilla.org/en-US/firefox/addon/7597/ là liên kết dành cho plugin Firefox. IMHO, đó là công cụ đơn giản nhất tôi đã tìm thấy để thử nghiệm SQL Injection. – Axeva
2
WebCruiser - Trình quét lỗ hổng trên web, không chỉ là công cụ quét bảo mật web mà còn là công cụ tiêm SQL tự động, công cụ tiêm XPath và công cụ cross-site scripting!
0
Chúng tôi có nhiều hơn chỉ là BSQL :) Kiểm tra xem chúng ra đây -
Các vấn đề liên quan
- 1. Làm cách nào để kiểm tra URL của bạn cho các cuộc tấn công SQL Injection?
- 2. Làm cách nào để tự động kiểm tra trang web của tôi cho các cuộc tấn công SQL injection, sử dụng tập lệnh hoặc chương trình?
- 3. Trang web đã bị tấn công qua SQL Injection
- 4. Làm cách nào để tránh các cuộc tấn công SQL injection trong ứng dụng ASP.NET của tôi?
- 5. Tôi làm cách nào để kiểm tra công việc trang web của mình trong Safari mobile?
- 6. Làm cách nào để thông báo cho ai đó rằng trang web của họ dễ bị tấn công SQL injection?
- 7. Ngăn chặn tấn công SQL Injection: nơi nào tôi bắt đầu
- 8. Tự bảo vệ mình trước các cuộc tấn công Dos
- 9. Kiểm tra xem một trang web có dễ bị Sql Injection
- 10. Các cuộc tấn công SQL injection có thể xảy ra trong JPA không?
- 11. Có bất kỳ công cụ tiêm SQL nào ngoài đó để tôi có thể kiểm tra lỗ hổng của trang web của mình không?
- 12. NV32ts và Tấn công SQL Injection của nó đang cố gắng làm gì?
- 13. Tôi nên theo dõi các mối đe dọa tiềm năng đến trang web của mình như thế nào?
- 14. Bảo vệ chống lại cuộc tấn công tiêm 'sqITFOR DELAY' sql injection?
- 15. Ai đó có thể giải thích sự tấn công SQL injection này cho tôi?
- 16. Tấn công trang web ASP.NET: Cách phản hồi?
- 17. Vệ sinh tên bảng/cột trong SQL động trong .NET? (Ngăn chặn các cuộc tấn công SQL injection)
- 18. Tôi làm cách nào để kiểm tra ứng dụng tab trang facebook của mình từ localhost
- 19. Tôi làm cách nào để kiểm tra trang web của mình trên iPad mà không cần phải có?
- 20. Có phải htmlencoding là một giải pháp thích hợp để tránh các cuộc tấn công SQL injection không?
- 21. Ngăn chặn các cuộc tấn công XSS
- 22. Làm cách nào để kiểm tra kết quả Json của tôi trong trang web ASP.NET MVC3?
- 23. Spring JDBC có cung cấp bất kỳ sự bảo vệ nào khỏi các cuộc tấn công SQL injection không?
- 24. Cách ngăn chặn các cuộc tấn công trên trang wp-login.php của WordPress
- 25. Làm cách nào để kiểm tra trang web bằng XAMPP?
- 26. Tấn công iframe trang web - chèn mã vào nguồn
- 27. Ngăn chặn các cuộc tấn công XSS trên toàn trang web
- 28. làm thế nào để bảo mật trang web của tôi
- 29. Bạn có kiểm tra sức khỏe trong ứng dụng web hoặc trang web của mình không?
- 30. Tôi làm cách nào để hiển thị nội dung cá nhân của mình từ Facebook trên trang web của mình?
sqlmap là một công cụ khai thác, nó không thể quét một trang web cho các lỗ hổng SQL injection có thể. –