sqlmap Automatische blinde SQL-injectie-tool, ontwikkeld in Python, in staat om een actieve database-managementsysteemvinger uit te voeren
Download nu

sqlmap Rangschikking & Samenvatting

sqlmap Tags

SQL injecteren injectie SQL injectie databasebeveiligingstester Database back-end vingerafdruk

sqlmap Beschrijving

Automatische blinde SQL Injection Tool, ontwikkeld in Python, in staat om een actief database-managementsysteem te vervullen SQLMAP is een automatische SQL-injectie-tool die volledig is ontwikkeld in Python. SQLMAP is in staat om een uitgebreid vingerafdruk van de databasebeheersysteem uit te voeren, systeembestanden te lezen, Remote DBMS-databases, tabellen, gebruikersnamen, kolommen, opgeheven Hele DBMS op te halen en gebruik te maken van de programmeerbeveiliging van het webtoepassing. Belangrijkste kenmerken van SQLMAP: Volledige ondersteuning voor MySQL, Oracle, PostgreSQL en Microsoft SQL Server Database Management System Back-End. Naast deze vier DBMS kan SQLMAP ook Microsoft Access, DB2, Informix en Sybase identificeren; Uitgebreid databasebeheersysteem back-end vingerafdruk op basis van: Inband DBMS-foutmeldingen Dbms banner parseren DBMS-functies Output-vergelijking DBMS-specifieke kenmerken zoals MySQL Commentaar Injectie Passieve SQL-injectie fuzzing Het ondersteunt volledig twee SQL-injectietechnieken: Blinde SQL-injectie Inband SQL-injectie, ook bekend als Union Query SQL-injectie en ondersteunt gedeeltelijk fouten op basis van SQL-injectie als een van de vectoren voor de vingerafdruk van de databasebeheersingssysteem; Het test automatisch alle verstrekte Get-, post-, cookie- en gebruikersagent-parameters om dynamische te vinden. Op deze test het automatisch en detecteert en detecteert en detecteert het die getroffen door SQL-injectie. Bovendien wordt elke dynamische parameter getest op numerieke, enkele geciteerde string, dubbele geciteerde tekenreeks en al deze drie typen met één en twee haakjes om te vinden welke de geldige syntaxis is om verdere injecten uit te voeren; Het is mogelijk om de naam van de enige parameter (s) te verstrekken die u wilt uitvoeren van tests en gebruik voor injectie, die ze krijgen, post, cookie-parameters; SQL Injection Testing and Detection hangt niet af van het Web Application Database Management System Back-End. SQL-injectie-exploitatie- en query-syntaxis is uiteraard afhankelijk van het back-end van het webtoepassingssysteem; Het herkent geldige query's door valse op basis van HTML-uitgangspagina Hashes-vergelijking, maar het is ook mogelijk om een dergelijke test uit te voeren op basis van string-matching; HTTP-aanvragen kunnen worden uitgevoerd in zowel HTTP-methode krijgen en plaatsen (standaard: GET); Het is mogelijk om HTTP-aanvragen uit te voeren met behulp van een HTTP-gebruikersagentreeks die willekeurig is geselecteerd uit een tekstbestand; Het is mogelijk om een HTTP Cookie Header-reeks te bieden, handig wanneer de webtoepassing authenticatie vereist op basis van cookies en u hebt dergelijke gegevens; Het is mogelijk om een anoniem HTTP-proxy-adres en -poort te bieden om door de HTTP-verzoeken aan de doel-URL te gaan; Het is mogelijk om het Remote DBMS-back-end te verstrekken als u het al weet dat het SQLMAP maakt, bespaart u wat tijd voor vingerafdrukken; Het ondersteunt verschillende opdrachtregelopties om database-managementsysteembanner, de huidige DBMS-gebruiker, de huidige DBMS-database te krijgen, gebruikers op te nemen, gebruikers Wachtwoordhashes, databases, tabellen, kolommen, dumptabellen vermeldingen, dump de volledige DBMS, ophalen van een willekeurige bestandsinhoud (als De afstandsbediening DBMS is MySQL) en geef uw eigen SQL-selectieverklaring op dat moet worden geëvalueerd; Het is mogelijk om SQLMAP automatisch te laten detecteren of de getroffen parameter ook wordt beïnvloed door een SQL-injectie van de Unie en in dat geval om het te gebruiken om de kwetsbaarheid te exploiteren; Het is mogelijk om systeemdatabases uit te sluiten bij het opsluiten van tabellen, handig bij het dumpen van de volledige DBMS-databases-tabellen en u wilt de standaard DBMS-gegevens overslaan; Het is mogelijk om de geschatte aankomsttijd voor elke queryuitgang te bekijken, in realtime bijgewerkt tijdens het uitvoeren van de SQL-injectieaanval; Ondersteuning om het verbindingsniveau van uitvoerberichten te verhogen; Het is mogelijk om query's op te slaan en hun opgehaalde waarde in realtime op een uitgangstekstbestand en doorgaan met de injectie die door een dergelijk bestand in een tweede keer wordt hervat; PHP-instelling Magic_Quotes_GPC-bypass door het coderen van elke querystring, tussen enkele aanhalingstekens, met Char (of vergelijkbare) DBMS-specifieke functie. Wat is er nieuw in deze release: Belangrijke verbetering om het vergelijkingsalgoritme op de juiste manier op de URL niet automatisch te laten werken door het Difflib Sequence Matcher-object niet automatisch te gebruiken; Belangrijke verbetering ter ondersteuning van SQL-gegevensdefinitie-verklaringen, SQL-gegevensmanipulatie-verklaringen, enz. Van gebruiker in SQL-query en SQL-schaal als gestapelde query's worden ondersteund door de webtoepassingstechnologie; Grote snelheidsverhoging in DBMS Basic Vingerafdruk; Kleine versterking om een optie (- DBA) te ondersteunen om te laten zien of de huidige gebruiker een systeem voor databasebeheersysteem is; Minorverbetering om een optie (--no-tech) te ondersteunen om de techniek te specificeren om te gebruiken om het aantal kolommen te detecteren dat wordt gebruikt in de webtoepassing Selecteer Verklaring: NULL Bruteforcing (standaard) of bestelling door Clause Brutforcing; Interne ondersteuning toegevoegd aan Case-case-verklaringen, alleen gebruikt door - is-DBA-query op dit moment; Minor lay-out aanpassing aan de uitgang - -update; Verhoogde standaard time-out tot 30 seconden; Major Bug-fix om de query's van Custom SQL "beperkte" query's op Microsoft SQL Server en Oracle correct af te handelen; Major Bug-fix om tracebacks te voorkomen wanneer meerdere doelen zijn opgegeven en een van hen is niet bereikbaar; Minor Bug-fix om de gedeeltelijke Union Query SQL-injectietechniek op de juiste manier op Oracle en Microsoft SQL Server te laten werken; Minor Bug-fix om het werk van - werkfix te maken, zelfs als Prefix niet wordt verstrekt; Bijgewerkte documentatie.

sqlmap Gerelateerde software