顶级SQLi检测工具介绍

顶级SQLi检测工具介绍

顶级 SQLi 检测工具

有很多 SQLi 检测工具，其中许多是开源的，可在 GitHub 上找到，除了专门的 SQLi 检测工具外，还有更大的套件和专有软件包将 SQLi 作为其整体漏洞检测功能的一部分。

Netsparker

SQLMap

SQLMap是 GitHub 上提供的自动 SQLi 和数据库接管工具，这个开源渗透测试工具可以自动检测和利用 SQLi 漏洞或其他接管数据库服务器的攻击。 它包括一个检测引擎；进行渗透测试的几种方法；以及用于数据库指纹识别、数据提取、访问底层文件系统以及通过带外连接在操作系统 (OS) 上执行命令的工具。

Havij

Havij是由一家伊朗安全公司开发的，它提供了一个图形用户界面 (GUI)，并且是一个自动化的 SQLi 工具，支持多种 SQLi 技术，它在支持渗透测试人员发现网页漏洞方面具有特殊价值，虽然它主要适用于 Windows，但也有一些变通方法可以让它在 Linux 上运行。

Burp

BBQSQL

Blisqy

Acunetix Web 漏洞扫描程序

Blind SQL Injection via Bit Shifting

Blind SQL Injection via Bit Shifting通过使用位移方法计算字符而不是猜测字符来执行 SQL 盲注入。位移位将位的位置向左或向右移动。例如，00010111 可以转换为 00101110。盲 SQL 模块每个字符需要七个或八个请求，具体取决于配置。

Damn Small SQLi Scanner

Damn Small SQLi Scanner (DSSS) 由 SQLMap 的创建者之一组成，是一个紧凑的 SQLi 漏洞扫描器，由不到 100 行代码组成。除了用作漏洞扫描器之外，该工具还强调其执行某些与占用大量代码的工具相同的任务的能力。 但是，正如其大小所预期的那样，它具有一定的局限性。例如，它只支持 GET 参数而不支持 POST 参数。

Leviathan

Leviathan的特点是工具的大规模审计集合。因此，它包含一系列用于服务发现、暴力破解、SQL 注入检测和运行自定义漏洞利用功能的功能。它内部包含了几个开源工具，包括masscan、ncrack和DSSS，可以单独使用，也可以组合使用。 此外，它还可以发现在特定国家或 IP 范围内运行的 FTP、SSH、Telnet、RDP 和 MySQL 服务。然后可以通过 ncrack 对发现的服务进行暴力破解。命令可以在受感染的设备上远程运行。针对 SQLi 漏洞，它可以在带有国家扩展名的网站上检测到它们。

NoSQLMap

NoSQLMap是一个可用于审计的 Python 工具。它通常用于 SQL 注入攻击的自动化，并用于发现NoSQL 数据库和使用 NoSQL 从数据库中披露或克隆数据的 Web 应用程序中的默认配置漏洞。 这个开源工具维护得很好，可以看作是 SQLMap 的表亲。顾名思义，NoSQL 解决了与关系数据库中使用的表格方法不同的数据模型。但是 NoSQL 数据库确实支持类似 SQL 的查询语言，因此受制于 SQLi。NoSQLMap 主要关注 MongoDB 和 CouchDB。未来的版本将扩大其曲目。

Tyrant SQL

Tyrant SQL是一个基于 Python 的 GUI SQL 注入工具，类似于 SQLMap。它的 GUI 允许更大的简单性。这使得初学者更容易分析易受攻击的链接并确定弱点所在。

Whitewidow

Whitewidow是另一个开源 SQL 漏洞扫描程序。由于它是自动化的，它可以快速运行一个长文件列表或从谷歌搜索潜在易受攻击的网站。 Whitewidow 还提供其他功能，例如自动文件格式化、随机用户代理、IP 地址、服务器信息和多 SQL 注入语法。该工具还提供了从其中启动 SQLMap 的能力。 然而，Whitewidow 与其说是一种补救工具，不如说是一种教育工具。它可以帮助用户了解漏洞是什么样的，但它依赖于 SQLMap 来获得更强大的 SQLi 检测功能。

Explo

Explo是一个基本工具，旨在以人类和机器可读的格式描述 Web 安全问题。它定义了一个请求/条件工作流，允许它在无需编写脚本的情况下利用安全问题。 因此，它可以解决复杂的漏洞，并以简单的可读和可执行格式共享它们。

什么是 SQL 注入？

结构化查询语言或 SQL 是一种在Microsoft SQL Server、Oracle、IBM DB2 和 MySQL 等关系数据库中大量使用的语言。由于数据库倾向于为企业托管敏感信息，恶意 SQL 注入可能导致敏感信息泄露、Web 内容修改和数据删除。 然后，SQLi 会利用基于 SQL 的应用程序中存在的漏洞。黑客将代码注入 SQL 查询，使他们能够添加、修改和删除数据库项目。 但受影响的不仅仅是数据库。SQLi 可以传播到连接到 SQL 数据库的 Web 应用程序和网站。根据开放 Web 应用程序安全项目 (OWASP)，注入是 Web 应用程序最普遍的威胁。

如何防止 SQL 注入？

SQLi 攻击执行恶意 SQL 查询，可用于绕过应用程序安全性，避免授权和身份验证登录和系统。攻击因数据库引擎的类型而异。最常见的变体包括基于用户输入的 SQLi、基于 cookie 的 SQLi、基于 HTTP 标头的 SQLi 和二阶 SQLi。 SQLi 的缓解和预防最初都是为了了解哪些应用程序可能易受攻击——这意味着任何与 SQL 数据库交互的网站。漏洞扫描是评估您可能面临风险的好方法。另一种方法是进行渗透测试。这本质上是试图闯入您的系统并找到任何可以利用的缺陷。

审核编辑 ：李倩

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。