55
Welche automatisierten Tools gibt es?Wie kann ich meine Website auf SQL-Injection-Angriffe testen?
A
Antwort
14
sqlmap: ein SQL-Spritzwerkzeug
sqlmap SQL ist eine automatische Injektions Werkzeug in Python entwickelt. Ihr Ziel ist zu erkennen und nutzen Sie SQL Injektion Sicherheitslücken auf Web Anwendungen. Sobald es eine oder mehr SQL-Injektionen auf der Ziel Host erkennt, kann der Anwender zwischen einer Vielzahl von Optionen wählen, ein umfangreichen Back-End-Datenbank-Management- System Fingerabdruck auszuführen, abrufen DBMS Sitzung Benutzer und Datenbank, aufzuzählen Benutzer , Passwort Hashes, Privilegien, Datenbanken, Dump gesamte oder Benutzer bestimmte DBMS Tabellen/Spalten, führen Sie seine eigene SQL-SELECT-Anweisung, lesen Sie bestimmte Dateien auf dem Dateisystem und viel mehr.
13
ein hier nicht verbunden, da guter Grund, es gibt es Malware enthält den Verdacht ...
http://www.darknet.org.uk/2008/09/bsql-hacker-automated-sql-injection-framework/
Sie können auch einen Skript kiddy App finden und es auf Ihrer Website zielen darauf ab, Sie verwenden gerne SQL Injection.
Aber anstatt all das zu tun, ist es nicht einfacher und einfacher, eine Bibliothek zu verwenden, die die SQL-Injektion verhindert?
+5
Ich finde es sehr gut, es trotzdem zu überprüfen, auch wenn die Bibliothek sagt, sie zu verhindern. Woher wissen Sie, dass es in der Bibliothek keinen Bug (oder eine Hintertür) gibt, abgesehen von einer gründlichen Überprüfung und Überprüfung des Codes? –
+0
@Vinko: weil eine richtige Bibliothek einfach die Escape-Funktion der Datenbank-Ebene (mysql_real_escape_string) auf allen Eingaben aufrufen wird. Solche Funktionen werden aus Sicherheitsgründen umfassend überprüft. –
+0
Und woher wissen Sie, dass eine Bibliothek "richtig" ist, ohne sie vorher zu überprüfen? Ein gewisses Maß an Paranoia ist gesund. –
3
Ein kommerzielles automatisiertes Tool ist Scan Alert von McAfee. Sie spionieren Ihre Site täglich und melden Sicherheitslücken - nicht nur SQL-Injection, sondern auch Dinge wie Ports, die nicht geöffnet sein sollten oder unsichere Versionen von Software, die auf dem Server läuft.
+0
Klingt wie ein toter Link (es leitet auf die Startseite). – kenorb
3
Wie wäre es, einfach die Verwendung von Techniken zu vermeiden, die SQL-Injection Attaks überhaupt erlauben?
Wenn Sie Prepared Statements anstelle von Dynamic SQL verwenden, sind Sie ausgezeichnet - SQL Injection-Angriffe werden unmöglich und Sie erhalten eine bessere Leistung! Verwenden Sie niemals einen vom Benutzer bereitgestellten String in dynamischem SQL! Dies ist der einzige Weg zu bestimmten, dass Ihre DB vor Injektionsangriffen sicher ist. Auch automatisierte Werkzeuge haben blinde Flecken - sie werden von Menschen geschaffen sind, nachdem alle ...
Nützliche Ressource: Oracle Tutorial on Defending against SQL Injection Attacks
1
Das findbugs Werkzeug eine gewisse Unterstützung hat für mögliche SQL-Injection-Angriffe in Java-Code zu erfassen, statische Analyse. Im Wesentlichen wird nach Fällen gesucht, in denen Eingabeparameter zum Erstellen von SQL-Abfragen verwendet werden und nicht als vorbereitete Anweisungsparameter verwendet werden.
7
4
Ich habe nicht wirklich genutzt, um ihre Firefox-Plug-in, aber einer von ihnen soll SQL-Injection-Probleme finden.
+2
https://addons.mozilla.org/en-US/firefox/addon/7597/ ist der Link für das Firefox-Plugin. IMHO, es ist das einfachste Tool, das ich zum Testen von SQL-Injektionen gefunden habe. – Axeva
2
WebCruiser - Web-Schwachstellen-Scanner, ist nicht nur ein Web-Security-Scan-Tool, sondern auch eine automatische SQL-Injection-Tool, ein XPath Injection-Tool und ein cross-site scripting Werkzeug!
0
Wir haben mehr als nur BSQL :) Überprüfen Sie sie hier aus -
Verwandte Themen
- 1. Wie kann ich meine Website für ein anderes Land testen?
- 2. Wie kann ich meine Website mit ie6
- 3. Wie kann ich meine Internetverbindung verlangsamen, damit ich testen kann, wie meine Website auf einer langsameren Verbindung aussieht?
- 4. Wie kann ich Google-Anzeigen auf meiner Website testen?
- 5. Wie kann ich meine Meteormethoden testen?
- 6. Wie kann ich meine fertige Website bereitstellen?
- 7. Wie kann ich meine Website skalierbar machen?
- 8. Wie kann ich meine Website auf dem iPad ohne eine testen?
- 9. Wie kann ich meine Website sichern?
- 10. Wie kann ich meine iPad App auf meinem iPad testen?
- 11. Wie kann ich meine Website standardmäßig auf Mobiltelefonen verkleinern lassen?
- 12. Wie ich meine Website auf alle Bildschirmauflösungen anpassen kann
- 13. Wie kann ich meine Website gleichzeitig auf verschiedenen Servern hochladen?
- 14. Wie kann ich meine DNS- und Site-Konfiguration testen?
- 15. Wo kann ich meine httpPost-Methode testen?
- 16. Wie veröffentliche ich meine Website?
- 17. Wie kann ich meine Website wie iphone appearence
- 18. Wie kann ich sehen, wie viel Bandbreite meine Website verwendet?
- 19. Testen von localhost auf browserstack - Safari 8 (auf Yosemite) kann meine Website nicht öffnen
- 20. Wie kann ich meine verzögerte Evaluierungs-/Ausführungsfunktionalität nachahmen oder testen?
- 21. Wie kann ich meine Anwendungen gegen die gängigen Virenscanner testen?
- 22. Ich möchte Flash auf meiner ASP.NET 3.5-Website testen - irgendwelche Informationen darüber, wie ich kann?
- 23. Wie kann ich feststellen, wie viele Benutzer meine Website besuchen?
- 24. Wie verpacke ich meine Website mit Webpack auf "Produktion"?
- 25. Wie soll ich meine Webanwendung testen?
- 26. Wie kann ich meine WordPress-Website in eine Subdomain umleiten?
- 27. Wie kann ich meine http-Website in https umwandeln
- 28. Wie kann ich Outlook Web App in meine Website einbetten?
- 29. Wie kann ich meine CakePHP-Anwendung für bestimmte Benutzertypen testen?
- 30. Wie kann ich programmatisch auf Cookies testen?
sqlmap ist eine Ausbeutung Werkzeug, kann es nicht eine Website für mögliche SQL-Injection-Schwachstellen scannen. –