登录论坛 | 注册会员 设为首页 | 收藏本站
当前位置 : 首页>软件学院>网络技术>网络软件>正文
 
五大著名免费SQL注入漏洞扫描工具

http://www.dbit.cn 2008/9/18 8:22:24  来源:东北IT网  编辑:叶子
 
  大量的现代企业采用Web应用程序与其客户无缝地连接到一起,但由于不正确的编码,造成了许多安全问题。Web应用程序中的漏洞可使黑客获取对敏感信息(如个人数据、登录信息等)的直接访问。

  Web应用程序准许访问者提交数据,并可通过互联网从数据库中检索数据。而数据库是多数Web应用程序的心脏。数据库维持着Web应用程序将特定内容交给访问者的数据,Web应用程序在将信息交给客户、供应商时,也从数据库取得数据。

  SQL注入攻击是最为常见的Web应用程序攻击技术,它会试图绕过SQL命令。在用户输入没有“净化”时,如果执行这种输入便会表现出一种SQL注入漏洞。

  检查SQL注入漏洞主要涉及到两方面,一是审计用户的Web应用程序,二是通过使用自动化的SQL注入扫描器执行审记的最佳方法。在此,笔者罗列了一些对Web应用程序开发人员和专业的安全审计人员有价值的SQL注入扫描程序。

  一、SQLIer

  SQLIer可以找到网站上一个有SQL注入漏洞的URL,并根据有关信息来生成利用SQL注入漏洞,但它不要求用户的交互。通过这种方法,它可以生成一个UNION SELECT查询,进而可以强力攻击数据库口令。这个程序在利用漏洞时并不使用引号,这意味着它可适应多种网站。

  SQLIer通过“true/false”SQL注入漏洞强力口令。借助于“true/false” SQL注入漏洞强力口令,用户是无法从数据库查询数据的,只能查询一个可返回“true”、“false”值的语句。

  据统计,一个八个字符的口令(包括十进制ASCII代码的任何字符)仅需要大约1分钟即可破解。

  其使用语法如下,sqlier [选项] [URL]

  其选项如下:

  -c :[主机] 清除主机的漏洞利用信息

  -s :[秒]在网页请求之间等待的秒数

  -u:[用户名]从数据库中强力攻击的用户名,用逗号隔开。

  -w:[选项]将[选项]交由wget

  此外,此程序还支持猜测字段名,有如下几种选择:

  --table-names [表格名称]:可进行猜测的表格名称,用逗号隔开。

  --user-fields[用户字段]:可进行猜测的用户名字段名称,用逗号隔开。

  --pass-fields [口令字段]:可进行猜测的口令字段名称,用逗号隔开。

  下面说一下其基本用法:

  例如,假设在下面的URL中有一个SQL注入漏洞:

  http://example.com/sqlihole.php?id=1

  我们运行下面这个命令:

  sqlier -s 10 http://example.com/sqlihole.php?id=1从数据库中得到足够的信息,以利用其口令,其中的数字“10”表示要在每次查询之间等待10秒钟。

  如果表格、用户名字段、口令字段名猜测得正确,那么漏洞利用程序会把用户名交付查询,准备从数据库中强力攻击口令。

  sqlier -s 10 example.com -u BCable,administrator,root,user4

  然而,如果内建的字段/表格名称没有猜中正确的字段名,用户就可以执行:

  sqlier -s 10 example.com --table-names [table_names] --user-fields [user_fields] --pass-fields [pass_fields]

  除非知道了正确的表格名、用户名字段、口令字段名,SQLIer就无法从数据库中强力攻击口令。如图1:

  
扫描


  图1

本新闻共3页,当前在第1页  1  2  3  

收藏】【打印】【进入论坛
  相关文章:

·MySQL CEO加入基准基金公司
·MySQL创始人联合14000人反对甲骨文收购Sun
·MySQL创始人呼吁用户反对甲骨文收购Sun
·94%浏览器攻击发生在漏洞公布的24小时之内
·如何防御网站SQL注入
·SQL攻击:防御和检查SQL注入的手段
·解析SQL注入 十大方式保护数据安全
·用SQL分离器实现sa弱口令强行入侵
·检测SQL Server是否有特洛伊木马 
·使用SQL更改SQL 2005 sa用户密码的方法
·使用sql语句分离和附加数据库的方法

 
 
 
最新文章

抢先苹果,消息称英特尔芯片采用台积电
三星揭晓业内首款单条 512GB DDR5 内存
vivo 高端新机爆料:120Hz 曲面屏 + 天
vivo Y21 在印度正式上市:Helio P35 芯
微星推出 GeForce RTX 3080 Sea Hawk X
消息称三星 Galaxy Tab S8 系列平板将放
机械革命推出 F6 轻薄本:16 英寸全面屏
英特尔 12 代 Alder Lake CPU 600 系列
雷军:向小米手机 1 首批用户每人赠送价
小米李明谈用户被踢出 MIUI 测试版:大

推荐文章
1
2
3
4
5
6
7
8
9
10
叛逆嫩模性感写真
宫如敏不雅照疯传 看张馨予韩一菲兽兽谁
不惧孔子抢位 阿凡达游戏影音配置推荐
2015第十七届“东北安博会”火爆招商
第十六届东北国际公共安全防范产品博览
2016年第五届中国国际商业信息化博览会
2016年第五届中国国际POS机及相关设备展
互联网电视熟了吗 2013最火电视深解析
桑达获邀出席2015中国(广州)国际POS机
宝获利报名参加“2015年度中国POS机行业
八卦图解 More>>
叛逆嫩模性感写真 宫如敏不雅照疯传 看张馨予韩一菲
周伟童魔鬼身材日本性感写真图  联想V360笔记本模特写真