SQLMap. Automatisches Blind-SQL-Injektionstool, das in Python entwickelt wurde, können einen aktiven Datenbankverwaltungssystemfinger ausführen
Jetzt downloaden

SQLMap. Ranking & Zusammenfassung

SQLMap. Stichworte

SQL. injizieren Injektion SQL-Injektion Datenbank-Sicherheitstester Datenbank Back-End-Fingerabdruck

SQLMap. Beschreibung

Das in Python entwickelte automatische blinde SQL-Injektionstool, das in Python entwickelt wurde, um ein aktives Datenbankverwaltungssystem durchführen zu können. Finger SQLMAP ist ein automatisches SQL-Injektionstool, das komplett in Python entwickelt wurde. SQLMAP ist in der Lage, ein umfangreiches Datenbankverwaltungssystem Back-End-Fingerabdruck auszuführen, Systemdateien lesen, Remote-DBMS-Datenbanken, Tabellen, Benutzernamen, Spalten, Spalten abzurufen, gesamte DBMs aufzulösen, und nutzen Sie die Programmiersicherheit von Webanwendungen. Hauptmerkmale von SQLMAP: Vollständige Unterstützung für MySQL, Oracle, PostgreSQL und Microsoft SQL Server Database Management System Backend. Neben diesen vier DBMS kann SQLMAP auch Microsoft Access, DB2, Informix und Sybase identifizieren. Ausführliches Datenbankverwaltungssystem Back-End-Fingerabdruck basierend auf: Inband DBMS-Fehlermeldungen DBMS Banner Parsing. DBMS-Funktionen Ausgabevergleich DBMS-spezifische Funktionen wie MySQL-Kommentarinjektion Passive SQL Injection Fuzzing Es unterstützt vollständig zwei SQL-Injektionstechniken: Blinde SQL-Injektion. Inband SQL Injection, auch als Gewerkschaftsabfrage SQL Injection bekannt, und unterstützt die fehlerbasierte SQL-Injektion teilweise als eines der Vektoren für den Fingerabdruck der Datenbankverwaltung. Es testet automatisch alle verfügbaren Parameter, Post-, Cookie- und Benutzer-Agenten, um dynamische Ergebnisse zu finden. Auf diese Weise testet er automatisch und erkennt die von SQL-Injektion betroffenen Personen. Darüber hinaus wird jeder dynamische Parameter auf numerischer, einzelner zitierter Zeichenfolge, doppelter Zitierschnur und all diesen drei Typen mit einer und zwei Klammern getestet, um festzustellen, dass die gültige Syntax, um weitere Injektionen mitzuführen; Es ist möglich, den Namen der einzigen Parameter (n) bereitzustellen, die Sie Tests durchführen und für die Injektion verwenden möchten, um sie zu erhalten, Post, Cookie-Parameter; SQL-Injektionstest und Erkennung hängt nicht vom Backend des Webantragsdatenbankverwaltungssystems ab. SQL Injection-Exploiting- und Abfrage-Syntax hängen offensichtlich vom Backend des Webantragsdatenbankverwaltungssystems ab; Es erkennt gültige Abfragen von falschen, basierend auf der Basis von HTML-Ausgangsseiten-Hash-Vergleich standardmäßig, es ist jedoch auch möglich, einen solchen Test basierend auf der String-Matching auszuführen. HTTP-Anforderungen können sowohl in der HTTP-Methode ab- und post (Standard: GET) ausgeführt werden; Es ist möglich, HTTP-Anforderungen mithilfe einer HTTP-Benutzer-Agent-Header-Zeichenfolge auszuführen, die zufällig aus einer Textdatei ausgewählt ist; Es ist möglich, eine HTTP-Cookie-Header-Zeichenfolge bereitzustellen, die nützlich ist, wenn die Webanwendung eine Authentifizierung erfordert, die auf Cookies basiert, und Sie haben solche Daten. Es ist möglich, eine anonyme HTTP-Proxy-Adresse und einen Anschluss mit den HTTP-Anforderungen an die Ziel-URL bereitzustellen. Es ist möglich, das Remote-DBMS-Backende bereitzustellen, wenn Sie bereits wissen, dass SQLMAP einige Zeit zum Fingerabdruck sparen. Es unterstützt verschiedene Befehlszeilenoptionen, um das Datenbankverwaltungssystem Banner, der aktuellen DBMS-Benutzer, der aktuellen DBMS-Datenbank, aufzählen Benutzer, Benutzerkennwort-Hashes, Datenbanken, Tabellen, Spalten, Dump-Tabelleneinträge, die gesamte DBMS auszutragen, einen beliebigen Dateiinhalt abzurufen (wenn Die Remote-DBMS ist MYSQL) und geben Sie Ihre eigene SQL SELECT-Anweisung an, die ausgewertet werden soll. Es ist möglich, SQLMAP automatisch zu erkennen, wenn der betroffene Parameter auch von einer Gewerkschaftsabfrage-SQL-Injektion beeinflusst wird und in diesem Fall die Anfälligkeit nutzt; Es ist möglich, Systemdatenbanken beim Aufzählen von Tabellen auszuschließen, nützlich beim Ablassen der gesamten DBMS-Datenbanken Tabelleneinträge und Sie möchten die Standard-DBMS-Daten überspringen. Es ist möglich, die voraussichtliche Ankunftszeit für jeden Abfrageausgang anzuzeigen, der in Echtzeit aktualisiert wird, während der SQL-Injektionsangriff durchgeführt wird. Unterstützung, um die Verbositätsstufe der Ausgangsnachrichten zu erhöhen; Es ist möglich, in Echtzeit auf einer Ausgabetextdatei ausgeführte Abfragen und ihren abgerufenen Wert in Echtzeit zu speichern und die Injektion fortzusetzen, die in einem zweiten Zeitpunkt von einer solchen Datei fortgesetzt wird; PHP-Einstellung Magic_Quotes_GPC-Bypass, indem Sie jede Abfragezeichenfolge codieren, zwischen einzelnen Zitaten, mit der Spezifikationsfunktion von CHAR (oder ähnlicher) dBMS. Was ist neu in dieser Version: Hauptverbesserung, um den Vergleichsalgorithmus ordnungsgemäß auch auf URL ordnungsgemäß zu machen, nicht automatisch mit dem Difflib-Sequenz-Matcher-Objekt automatisch automatisch. Hauptverbesserung zur Unterstützung von SQL-Datenfinitions-Anweisungen, SQL-Datenmanipulationsanweisungen usw. von der Benutzer in SQL-Abfrage und SQL-Shell, wenn gestapelte Abfragen von der Web-Anwendungstechnologie unterstützt werden; Hauptgeschwindigkeitssteigerung des DBMS-Basisfingerabdrucks; Minor Verbesserung zur Unterstützung einer Option (-In-dBA), um anzuzeigen, ob der aktuelle Benutzer ein Datenbankverwaltungssystem-Administrator ist; Die geringfügige Erweiterung zur Unterstützung einer Option (--union-tech), um die Technik anzugeben, die zur Erkennung der Anzahl der Spalten, die in der WEB-Anwendungs-SELECT-Anweisung verwendet werden sollen, zu verwenden: NULL BRUTEFORCING (Standard) oder Order von Klausel BRUTEFORCING; In der internen Unterstützung für Schmiede-Case-Anweisungen, verwendet, die nur von --It-dba-Abfrage im Moment verwendet wird; Kleinere Layouteinstellung an der --Update-Ausgabe; Erhöhte Standardtimeout bis 30 Sekunden; Wichtige Fehlerbehebung, um benutzerdefinierte SQL "Limited" -Afrager auf Microsoft SQL Server und Oracle korrekt zu behandeln. Wichtige Fehlerbehebung, um Tracebacks zu vermeiden, wenn mehrere Ziele angegeben sind und einer von ihnen nicht erreichbar ist; Minor-Fehlerbehebung, um die Partial Union-Abfrage-SQL-Injektionstechnik ordnungsgemäß auch auf Oracle- und Microsoft-SQL-Server zu erstellen. Minor-Fehlerbehebung, um die --Postfix-Arbeiten selbst herzustellen, auch wenn --Prefix nicht angegeben ist. Aktualisierte Dokumentation.

SQLMap. Zugehörige Software