10 个 SQL 注入工具

2016-3-31 | 发布者:数据库开发

(点击上方蓝字,可快速关注我们)


英文:darkreading

译者:CSDN

链接:http://www.csdn.net/article/2012-04-16/2804631


众所周知,SQL注入攻击是最为常见的Web应用程序攻击技术。同时SQL注入攻击所带来的安全破坏也是不可弥补的。以下罗列的10款SQL注入工具可帮助管理员及时检测存在的漏洞。


BSQL Hacker



BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出注入。 BSQL Hacker的适用群体是那些对注入有经验的使用者和那些想进行自动SQL注入的人群。BSQL Hacker可自动对Oracle和MySQL数据库进行攻击,并自动提取数据库的数据和架构。


The Mole



The Mole是一款开源的自动化SQL注入工具,其可绕过IPS/IDS(入侵防御系统/入侵检测系统)。只需提供一个URL和一个可用的关键字,它就能够检测注入点并利用。The Mole可以使用union注入技术和基于逻辑查询的注入技术。The Mole攻击范围包括SQL Server、MySQL、Postgres和Oracle数据库。


Pangolin



Pangolin是一款帮助渗透测试人员进行SQL注入(SQL Injeciton)测试的安全工具。Pangolin与JSky(Web应用安全漏洞扫描器、Web应用安全评估工具)都是NOSEC公司的产品。Pangolin具备友好的图形界面以及支持测试几乎所有数据库(Access、MSSql、MySql、Oracle、Informix、DB2、Sybase、PostgreSQL、Sqlite)。Pangolin能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。Pangolin是目前国内使用率最高的SQL注入测试的安全软件。


Sqlmap



Sqlmap是一个自动SQL 注入工具。其可胜任执行一个广泛的数据库管理系统后端指纹,检索DBMS数据库、usernames、表格、列、并列举整个DBMS信息。Sqlmap提供转储数据库表以及MySQL、PostgreSQL、SQL Server服务器下载或上传任何文件并执行任意代码的能力。


Havij



Havij是一款自动化的SQL注入工具,它能够帮助渗透测试人员发现和利用Web应用程序的SQL注入漏洞。Havij不仅能够自动挖掘可利用的SQL 查询,还能够识别后台数据库类型、检索数据的用户名和密码hash、转储表和列、从数据库中提取数据,甚至访问底层文件系统和执行系统命令,当然前提是有 一个可利用的SQL注入漏洞。Havij支持广泛的数据库系统,如 MsSQL, MySQL, MSAccess and Oracle。 Havij支持参数配置以躲避IDS,支持代理,后台登陆地址扫描。


Enema SQLi



Enema SQLi与其他 SQL注入工具不同的是,Enema SQLi不是自动的,想要使用Enema SQLi需要一定的相关知识。Enema SQLi能够使用用户自定义的查询以及插件对SQL Server和MySQL数据库进行攻击。支持基于error-based、Union-based和blind time-based的注入攻击。


SQLninja



SQLninja软件用Perl编写,符合GPLv2标准。SQLninja的目的是利用Web应用程序中的SQL注入式漏洞,它依靠微软的SQL Server作为后端支持。其主要的目标是在存在着漏洞的数据库服务器上提供一个远程的外壳,甚至在一个有着严格的防范措施的环境中也能如此。在一个SQL注入式漏洞被发现以后,企业的管理员特别是渗透攻击的测试人员应当使用它,它能自动地接管数据库服务器。现在市场上有许多其它的SQL注入式漏洞工具,但SQLninja与其它工具不同,它无需抽取数据,而着重于在远程数据库服务器上获得一个交互式的外壳,并将它用作目标网络中的一个立足点。


sqlsus



sqlsus是一个开放源代码的MySQL注入和接管工具,sqlsus使用perl编写并基于命令行界面。sqlsus可以获取数据库结构,注入你自己的SQL语句,从服务器下载文件,爬行web站点可写目录,上传和控制后门,克隆数据库等。


Safe3 SQL Injector



Safe3 SQL Injector是一个最强大和最易使用的渗透测试工具,它可以自动检测和利用SQL注入漏洞和数据库服务器的过程中。Safe3 SQL Injector具备读取MySQL、Oracle、PostgreSQL、SQL Server、Access、SQLite、Firebird、Sybase、SAP MaxDB等数据库的能力。同时支持向MySQL、SQL Server写入文件,以及SQL Server和Oracle中执行任意命令。Safe3 SQL Injector也支持支持基于error-based、Union-based和blind time-based的注入攻击。


SQL Poizon



SQL Poizon的图形界面使用户无需深厚的专业知识便能够进行攻击,SQL Poizon扫描注入工具内置浏览器可帮助查看注入攻击带来的影响。SQL Poizon充分利用搜索引擎“dorks”扫描互联网中存在SQL注入漏洞的网站。



【今日微信账号推荐】

更多推荐请看值得关注的技术和设计公众号


其中推荐了包括技术设计极客 和 IT相亲相关的热门公众号。技术涵盖:Python、Web前端、Java、安卓、iOS、PHP、C/C++、.NET、Linux、数据库、运维、大数据、算法、IT职场等。点击《值得关注的技术和设计公众号》,发现精彩!



音乐节详情,请点阅读原文



热门文章

更多

辣妈帮

嗨,妈妈!教孩子学会分享,不一定要说大道理!

嗨,妈妈!教孩子学会分享,不一定要说大道理!

想要作一个萌萌哒小宝贝?粑粑麻麻首先需要教会宝贝:美的、喜欢的东西要一起分享,毕竟爱分享的宝贝才会心善貌美,讨人喜欢~wuli宝贝,学会分享后,可以摆脱小气宝宝的绰号哦!宝贝的的心境还能更加坦然,更加...
儿童早教 • 
谁来保障我孩子的生命安全!数亿元问题疫苗流入1...

谁来保障我孩子的生命安全!数亿元问题疫苗流入1...

济南警方称,近日抓获了一对非法经营疫苗的母女。2010年以来,庞某卫母女非法经营25种儿童、成人用二类疫苗,未经严格冷链存储销往18省市,涉案金额5.7亿。北京大学医学部免疫学系副主任王月丹称“这是在杀人”...
育儿大全 • 
春季全方位防敏清单|孕妈出门踏青就靠它啦!

春季全方位防敏清单|孕妈出门踏青就靠它啦!

春天来了,大家是不是都准备出门踏青去啦?可升级为孕妈之后,体内的荷尔蒙也发生了巨大变化,很容易成为被春日过敏大军攻击的“小可怜”。一旦中招,肚子里的宝宝可能也会跟着遭殃(T▽T)So,春天防敏对孕妈和...
萌孩控 • 
有多少父母以爱为借口,却成了孩子眼中的

有多少父母以爱为借口,却成了孩子眼中的"恶魔"...

孩子三四岁,每晚都要听睡前故事,可是故事太吸引人,孩子越听越兴奋,哭着闹着非要多听两个,结果睡眠时间越来越晚,你狠下心,扔掉了所有的睡前故事磁带,告诉孩子,从此以后十点必须上床,乖乖睡觉,不然你就...
家长帮 • 
太奇葩,女星喂母乳遭人训斥,公共场合给宝宝哺...

太奇葩,女星喂母乳遭人训斥,公共场合给宝宝哺...

我们都知道,给宝宝在公共场合哺乳,这是很多人讨论的话题,那么,为了避免在公共场合哺乳的尴尬,该如何给宝宝在公共场合哺乳呢?1.准备好遮挡工具出门前知道会在公共场合哺乳,妈妈们应该准备好遮挡工具,哺乳...
宝宝助手 • 
加载更多

 更多辣妈帮