十大关系数据库SQL注入工具一览
openkk 13年前
<div id="news_body"> <p> 众所周知,SQL 注入攻击是最为常见的 Web 应用程序攻击技术。同时 SQL 注入攻击所带来的安全破坏也是不可弥补的。以下罗列的 10 款 SQL 工具可帮助管理员及时检测存在的漏洞。</p> <p> <strong>BSQL Hacker</strong></p> <p style="text-align:center;"><img border="0" alt="十大关系数据库SQL注入工具一览" src="https://simg.open-open.com/show/0c299d56765634edd31bbaac97633924.jpg" width="590" height="554" /></p> <p> BSQL Hacker 是由 Portcullis 实验室开发的,BSQL Hacker 是一个 SQL 自动注入工具(支持 SQL 盲注),其设计的目的是希望能对任何的数据库进行 SQL 溢出注入。 BSQL Hacker 的适用群体是那些对注入有经验的使用者和那些想进行自动 SQL 注入的人群。BSQL Hacker 可自动对 Oracle 和 MySQL 数据库进行攻击,并自动提取数据库的数据和架构。</p> <p> <strong>The Mole</strong></p> <p style="text-align:center;"><img border="0" alt="十大关系数据库SQL注入工具一览" src="https://simg.open-open.com/show/594480a1f118516735c036f0610bd5d5.jpg" width="590" height="385" /></p> <p> The Mole 是一款开源的自动化 SQL 注入工具,其可绕过 IPS/IDS(入侵防御系统/入侵检测系统)。只需提供一个 URL 和一个可用的关键字,它就能够检测注入点并利用。The Mole 可以使用 union 注入技术和基于逻辑查询的注入技术。The Mole 攻击范围包括 SQL Server、MySQL、Postgres 和 Oracle 数据库。</p> <p> <strong>Pangolin</strong></p> <p style="text-align:center;"><img border="0" alt="十大关系数据库SQL注入工具一览" src="https://simg.open-open.com/show/8bba286415e99715f9f4368756e45eb2.jpg" width="590" height="454" /></p> <p> Pangolin 是一款帮助渗透测试人员进行 SQL 注入(SQL Injeciton)测试的安全工具。Pangolin 与 JSky(Web 应用安全漏洞扫描器、Web 应用安全评估工具)都是 NOSEC 公司的产品。Pangolin 具备友好的图形界面以及支持测试几乎所有数据库(Access、MSSql、MySql、Oracle、Informix、DB2、Sybase、 PostgreSQL、Sqlite)。Pangolin 能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。Pangolin 是目前国内使用率最高的 SQL 注入测试的安全软件。</p> <p> <strong>Sqlmap</strong></p> <p style="text-align:center;"><img border="0" alt="十大关系数据库SQL注入工具一览" src="https://simg.open-open.com/show/368298633a95643b9442613073b4d8a8.jpg" width="590" height="478" /></p> <p> Sqlmap 是一个自动 SQL 注入工具。其可胜任执行一个广泛的数据库管理系统后端指纹,</p> <p> 检索 DBMS 数据库、usernames、表格、列、并列举整个 DBMS 信息。Sqlmap 提供转储数据库表以及 MySQL、PostgreSQL、SQL Server 服务器下载或上传任何文件并执行任意代码的能力。</p> <p> <strong>Havij</strong></p> <p style="text-align:center;"><img border="0" alt="十大关系数据库SQL注入工具一览" src="https://simg.open-open.com/show/e606e6d749f32c3d2c043c7122975433.jpg" width="590" height="649" /></p> <p> Havij 是一款自动化的 SQL 注入工具,它能够帮助渗透测试人员发现和利用 Web 应用程序的 SQL 注入漏洞。Havij 不仅能够自动挖掘可利用的 SQL 查询,还能够识别后台数据库类型、检索数据的用户名和密码 hash、转储表和列、从数据库中提取数据,甚至访问底层文件系统和执行系统命令,当然前提是有一个可利用的 SQL 注入漏洞。Havij 支持广泛的数据库系统,如 MsSQL, MySQL, MSAccess and Oracle。 Havij 支持参数配置以躲避 IDS,支持代理,后台登陆地址扫描。</p> <p> <strong>Enema SQLi</strong></p> <p style="text-align:center;"><img border="0" alt="十大关系数据库SQL注入工具一览" src="https://simg.open-open.com/show/d61c1f0f64df1bfaafa307af967f91f5.jpg" width="590" height="344" /></p> <p> Enema SQLi 与其他 SQL 注入工具不同的是,Enema SQLi 不是自动的,想要使用 Enema SQLi 需要一定的相关知识。Enema SQLi 能够使用用户自定义的查询以及插件对 SQL Server 和 MySQL 数据库进行攻击。支持基于 error-based、Union-based 和 blind time-based 的注入攻击。</p> <p> <strong>SQLninja</strong></p> <p style="text-align:center;"><img border="0" alt="十大关系数据库SQL注入工具一览" src="https://simg.open-open.com/show/cfc0e92606f8c82d5a8f4ca07ad4e590.jpg" width="533" height="384" /></p> <p> SQLninja 软件用 Perl 编写,符合 GPLv2 标准。SQLninja 的目的是利用 Web 应用程序中的 SQL 注入式漏洞,它依靠微软的 SQL Server 作为后端支持。其主要的目标是在存在着漏洞的数据库服务器上提供一个远程的外壳,甚至在一个有着严格的防范措施的环境中也能如此。在一个 SQL 注入式漏洞被发现以后,企业的管理员特别是渗透攻击的测试人员应当使用它,它能自动地接管数据库服务器。现在市场上有许多其它的 SQL 注入式漏洞工具,但 SQLninja 与其它工具不同,它无需抽取数据,而着重于在远程数据库服务器上获得一个交互式的外壳,并将它用作目标网络中的一个立足点。</p> <p> <strong>sqlsus</strong></p> <p style="text-align:center;"><img border="0" alt="十大关系数据库SQL注入工具一览" src="https://simg.open-open.com/show/70582cf618d8f4f6f8ee9d37af396caf.jpg" width="590" height="305" /></p> <p> sqlsus 是一个开放源代码的 MySQL 注入和接管工具,sqlsus 使用 perl 编写并基于命令行界面。sqlsus 可以获取数据库结构,注入你自己的 SQL 语句,从服务器下载文件,爬行 web 站点可写目录,上传和控制后门,克隆数据库等。</p> <p> <strong>Safe3 SQL Injector</strong></p> <p style="text-align:center;"><img border="0" alt="十大关系数据库SQL注入工具一览" src="https://simg.open-open.com/show/35b18dd7626b38ce8054e2baff7d5844.jpg" width="590" height="451" /></p> <p> Safe3 SQL Injector 是一个最强大和最易使用的渗透测试工具,它可以自动检测和利用 SQL 注入漏洞和数据库服务器的过程中。Safe3 SQL Injector 具备读取 MySQL、Oracle、PostgreSQL、SQL Server、Access、SQLite、Firebird、Sybase、SAP MaxDB 等数据库的能力。同时支持向 MySQL、SQL Server 写入文件,以及 SQL Server 和 Oracle 中执行任意命令。Safe3 SQL Injector 也支持支持基于 error-based、Union-based 和 blind time-based 的注入攻击。</p> <p> <strong>SQL Poizon</strong></p> <p style="text-align:center;"><img border="0" alt="十大关系数据库SQL注入工具一览" src="https://simg.open-open.com/show/a52e319e9f59c5872bb7e1daef2f08b6.jpg" width="590" height="319" /></p> <p> SQL Poizon 的图形界面使用户无需深厚的专业知识便能够进行攻击,SQL Poizon 扫描注入工具内置浏览器可帮助查看注入攻击带来的影响。SQL Poizon 充分利用搜索引擎“dorks”扫描互联网中存在 SQL 注入漏洞的网站。(李智/编辑)</p> <p> 原文链接:<a href="/misc/goto?guid=4958337189975911363" target="_blank">darkreading</a></p> <div id="come_from"> 来自: <a id="link_source2" href="/misc/goto?guid=4958337190789434582" target="_blank">CSDN</a> </div> </div>