Sikkerhet

Liste over BEST SQLi-VERKTØY

Liste over BEST SQLi-VERKTØY
SQL-injeksjon også referert til som SQLi, er en teknikk der datadrevne applikasjoner kan angripes via skadelig SQL-kode. Angripere kan få tilgang til, endre eller ødelegge databaser ved hjelp av SQLi. Det er en av de vanligste teknikkene som brukes i Web Hacking.

Selv om SQL-injeksjon kan være farlig, kan det være en veldig hektisk jobb å utføre forskjellige kommandoer via nettsideinngang for å utføre SQLi. Fra å samle inn data til å utvikle riktig nyttelast kan være en veldig tidkrevende og noen ganger frustrerende jobb. Det er her verktøyene spiller inn. Det er mange verktøy tilgjengelig for testing og utnyttelse av forskjellige typer SQL-injeksjoner. Vi vil diskutere noen av de beste.

Havij:

Havij (som betyr gulrot på persisk) er et verktøy av ITSecTeam, et iransk sikkerhetsselskap. Det er et GUI-aktivert, helautomatisk SQLi-verktøy og støtter en rekke SQLi-teknikker. Den ble utviklet for å hjelpe penetrasjonstestere med å finne sårbarheter på websider. Det er et brukervennlig verktøy og inkluderer også avanserte funksjoner, så det er bra for både nybegynnere og profesjonelle. Havij har også en Pro-versjon. Det spennende med Havij er den 95% vellykkede injeksjonsgraden på sårbare mål. Havij er bare laget for windows, men man kan bruke vin for å få det til å fungere på Linux. Selv om ITSecTeams offisielle side har vært nede i lang tid, er Havij og Havij Pro tilgjengelig på mange nettsteder og GitHub Repos.

BBQSQL:

BBQSQL kjent som 'Blind SQL' injeksjonsrammeverk hjelper deg med å løse problemer når tilgjengelige utnyttelsesverktøy ikke fungerer. Skrevet i python, er det et slags semi-automatisk verktøy som tillater tilpasning til en viss grad for komplekse SQL-injeksjonsfunn. BBQSQL stiller flere spørsmål i en meny-drevet tilnærming og oppretter deretter injeksjonen / angrepet i henhold til brukerens svar. Det er et veldig allsidig verktøy med innebygd brukergrensesnitt for å gjøre bruken enklere. Og bruken av python gevent gjør det ganske raskt. Den gir informasjon om informasjonskapsler, filer, HTTP-godkjenning, fullmakter, URL, HTTP-metode, overskrifter, kodingsmetoder, omdirigeringsadferd osv. Kravene før bruk inkluderer å sette opp parametere, alternativer, og deretter konfigurere angrepet etter behov. Verktøyets konfigurasjon kan endres til å bruke enten en frekvens eller en binær søketeknikk. Det kan også avgjøre om SQL-injeksjonen fungerte ved å bare lete etter noen spesifikke verdier i HTTP-svarene fra applikasjonen. En feilmelding vises i databasen som klager over feil syntaks for SQL Query hvis angriperen utnytter SQL Injection. Den eneste forskjellen mellom blind SQL og normal SQL-injeksjon er måten dataene blir hentet fra databasen.

Installer BBQSQL:

$ apt-GET installer bbqsql

Leviathan:

Ordet Leviathan refererer til et sjødyr, sjødjevelen eller sjømonster. Verktøyet er så navngitt på grunn av sin angrepsfunksjon. Verktøyet ble først lansert på Black Hat USA 2017 Arsenal. Det er et rammeverk som består av mange verktøy med åpen kildekode, inkludert masscan, ncrack, DSSS, etc for å utføre forskjellige handlinger, inkludert SQLi, tilpasset utnyttelse, etc. Verktøyene kan også brukes i kombinasjon. Den brukes ofte til penetrasjonstestoppgaver, som å oppdage maskiner og identifisere de sårbare, oppregne tjenester som jobber på disse enhetene, og finne angrepsmuligheter gjennom angrepssimulering. Det kan identifisere sårbarheter i Telnet, SSH, RDP, MYSQL og FTP. Leviathan er svært dyktig i å sjekke SQL-sårbarheter på nettadresser. Det grunnleggende målet med Leviathan-verktøyet er å utføre massive skanninger på mange systemer samtidig. Ferdigheten i å sjekke for SQL-sårbarheter gjør leviathan. Avhengighetene som kreves for å bruke Leviathan Framework er bs4, shodan, google-API-python-client, lxml, paramiko, forespørsler.

Installer Leviathan:

$ Git klon https: // github.com / leviathan-framework / leviathan.git
$ Cd leviathan
$ Pip install -r krav.tekst

Hvit enke:

Whitewidow er et ofte brukt verktøy for sårbarhetsskanning i applikasjonssikkerhet og penetrasjonstesting. De fleste som er interessert i dette verktøyet er pennetestere og fagpersoner i sikkerhet. Whitewidow er også åpen kildekode og er en automatisert SQL-sårbarhetsskanner som kan bruke en filliste eller Google til å skrape potensielt sårbare nettsteder. Hovedmålet med dette verktøyet var læring og å fortelle brukerne hvordan sårbarhet ser ut. WhiteWidow krever noen avhengigheter for å fungere, for eksempel: mechanize, nokogiri, rest-client, webmock, rspec og vcr. Den er utviklet på et rubin programmeringsspråk. Tusenvis av nøye undersøkte spørsmål brukes til å skrape Google for å finne sårbarheter på forskjellige nettsteder. Når du starter Whitewidow, vil den straks begynne å se etter sårbare nettsteder. De kan senere utnyttes manuelt.

Installer WhiteWidow:

$ Git klon https: // github.no / WhitewidowScanner / whitewidow.git
$ Cd whitewidow
$ Pakkeinstallasjon

jSQL-injeksjon:

jSQL er et java-basert automatisk SQL Injection-verktøy, derav navnet jSQL.
Den er FOSS og er plattformkompatibel. Den er satt sammen ved hjelp av biblioteker som Hibernate, Spock og Spring. jSQL Injection støtter 23 forskjellige databaser, inkludert Access, MySQL, SQL Server, Oracle, PostgreSQL, SQLite, Teradata, Firebird, Ingris og mange flere. jSQL Injection er plassert på GitHub og bruker plattform Travis CI for kontinuerlig integrering. Den sjekker for flere injeksjonsstrategier: Normal, Feil, Blind og Tid. Den har andre funksjoner som å søke etter administrasjonssider, brute-force av passordhash, opprettelse og visualisering av Web shell og SQL shell, etc. jSQL Injection kan også lese eller skrive filer.
jSQL-injeksjon er tilgjengelig i operativsystemer som Kali, Parrot OS, Pentest Box, BlackArch Linux og andre pennetestdistroer.

Installer jSQL:

$ apt-GET installer jsql

SQLmap

SQLmap er et automatisert verktøy skrevet i python som automatisk ser etter SQL-sårbarheter, utnytter dem og overtar databaseservere. Det er gratis programvare med åpen kildekode og er sannsynligvis det mest brukte verktøyet for å teste SQLi-sårbare mål. Det er gratis programvare med åpen kildekode med en utrolig kraftig deteksjonsmotor. Opprettet av Daniele Bellucci i 2006, ble den senere utviklet og promotert av Bernardo Damele. Det mest bemerkelsesverdige trinnet i utviklingen av sqlmap var Black Hat Europe 2009, som kom frem i søkelyset med all medieoppmerksomhet. SQLmap støtter de fleste typer databaser, SQL Injection-teknikker og passordknusing basert på ordboksbaserte angrep. Den kan også brukes til å redigere / laste ned / laste opp filer i en database. Meterpreters (Metasploit) getsystem-kommando brukes til eskalering av privilegier. For ICMP-tunneling blir et impacket-bibliotek lagt til. SQLmap gir henting av resultater ved hjelp av DNS rekursiv oppløsning mye raskere enn tidsbaserte eller boolske baserte metoder. SQL-spørringer brukes til å utløse nødvendige DNS-forespørsler. SQLmap støttes av python 2.6,2.7 og python 3 og utover.
Ifølge Ed Skoudis avhenger et komplett SQLmap-angrep av en 5-trinns modell:

  1. Rekognosering
  2. Skanning
  3. Utnytte
  4. Holder tilgang
  5. Dekker spor

Installer SQLmap:

$ Apt-GET installer sqlmap

Eller

$ Git klon https: // github.com / sqlmapproject / sqlmap.git
$ Cd sqlmap
$ Python sqlmap.py

Selv om denne listen er kompakt, består den av de mest populære verktøyene som brukes til å oppdage og utnytte SQLi. SQL Injection er en veldig vanlig sårbarhet og kommer i en rekke former, så verktøyene er veldig nyttige for å oppdage disse sårbarhetene og hjelper mange penetrasjonstestere og script-kiddies til å gjøre jobben på en veldig enkel måte.

Happy Injecting!

Ansvarsfraskrivelse: Den ovennevnte artikkelen er kun for pedagogiske formål. Det er brukerens ansvar å ikke bruke de ovennevnte verktøyene på et mål uten tillatelse.

Mus Etterlig museklikk ved å sveve med Clickless Mouse i Windows 10
Etterlig museklikk ved å sveve med Clickless Mouse i Windows 10
Bruk av mus eller tastatur i feil stilling for overdreven bruk kan føre til mange helseproblemer, inkludert belastning, karpaltunnelsyndrom og mer. I ...
Mus Legg til musebevegelser i Windows 10 ved hjelp av disse gratisverktøyene
Legg til musebevegelser i Windows 10 ved hjelp av disse gratisverktøyene
De siste årene har datamaskiner og operativsystemer utviklet seg sterkt. Det var en tid da brukere måtte bruke kommandoer for å navigere gjennom filad...
Mus Kontroller og administrer musebevegelser mellom flere skjermer i Windows 10
Kontroller og administrer musebevegelser mellom flere skjermer i Windows 10
Dual Display Mouse Manager lar deg kontrollere og konfigurere musebevegelse mellom flere skjermer, ved å bremse bevegelsene nær grensen. Windows 10/8,...