植物百科网
当前位置: 首页 农业百科

最新sql注入漏洞(网络安全干货分享)

时间:2023-05-27 作者: 小编 阅读量: 3 栏目名: 农业百科

其嵌入式Chromium浏览器呈现和抓取JavaScript。它主要用于处理更复杂的SQL注入漏洞。它会自动创建所有网站、应用程序和API的列表,并使其保持最新状态。LeviathanLeviathan的特点是工具的大规模审计集合。然后可以通过ncrack对发现的服务进行暴力破解。命令可以在受感染的设备上远程运行。它通常用于SQL注入攻击的自动化,并用于发现NoSQL数据库和使用NoSQL从数据库中披露或克隆数据的Web应用程序中的默认配置漏洞。

最近整理了一些奇安信&华为大佬的课件资料 课件笔记 面试课题,想要的可以私信自取,无偿赠送给粉丝朋友~

文章来源 :https://www.wljslmz.cn/1109.html

SQL 注入 (SQLi) 是一种可以访问敏感或私有数据的隐蔽攻击形式,它们最早是在上世纪末被发现的,尽管它们的年龄很大,但它们经常被用作黑客工具包中的一种有效技术。今天,给大家介绍一下顶级 SQLi 检测工具。

顶级 SQLi 检测工具

有很多 SQLi 检测工具,其中许多是开源的,可在 GitHub 上找到,除了专门的 SQLi 检测工具外,还有更大的套件和专有软件包将 SQLi 作为其整体漏洞检测功能的一部分。

Netsparker

Netsparker是一个 Web 漏洞管理解决方案,其中包括 SQLi 检测作为其众多功能之一,还专注于可扩展性、自动化和集成。

该套件围绕 Web 漏洞扫描器构建,并且可以与第三方工具集成,操作员不需要熟悉源代码。该公司还提供了一个SQL 注入备忘单来帮助缓解工作。

Netsparker 平台使用基于证明的扫描技术来识别和确认漏洞,指示绝对不是误报的结果,除了 SQL 注入之外,它还可以识别 Web 应用程序、Web 服务和 Web API 中的跨站点脚本 (XSS) 和其他漏洞。

该平台还具有安全测试工具和报告生成器,并且可以集成到 DevOps 环境中,它检查 Apache、Nginx 和 IIS 等 Web 服务器,并支持基于 AJAX 和 JavaScript 的应用程序。

SQLMap

SQLMap是 GitHub 上提供的自动 SQLi 和数据库接管工具,这个开源渗透测试工具可以自动检测和利用 SQLi 漏洞或其他接管数据库服务器的攻击。

它包括一个检测引擎;进行渗透测试的几种方法;以及用于数据库指纹识别、数据提取、访问底层文件系统以及通过带外连接在操作系统 (OS) 上执行命令的工具。

jSQL Injection

jSQL Injection是一种基于 Java 的工具,可帮助 IT 团队从远程服务器中查找数据库信息,它是解决 SQLi 的众多免费、开源方法中的另一种。它支持 Windows、Linux 和 Mac 操作系统以及 Java 版本 11-17。

它是如此有效的 SQLi 威慑,以至于它包含在许多其他漏洞扫描和渗透测试产品和发行版中。这包括Kali Linux、Pentest Box、Parrot Security OS、ArchStrike和BlackArch Linux。

它还提供 33 个数据库引擎的自动注入,包括 Access、DB2、Hana、Ingres、MySQL、Oracle、PostgreSQL、SQL Server、Sybase 和 Teradata。它为用户提供了解决多种注入策略和流程的方法,并提供了用于 SQL 和篡改的脚本沙箱。

Havij

Havij是由一家伊朗安全公司开发的,它提供了一个图形用户界面 (GUI),并且是一个自动化的 SQLi 工具,支持多种 SQLi 技术,它在支持渗透测试人员发现网页漏洞方面具有特殊价值,虽然它主要适用于 Windows,但也有一些变通方法可以让它在 Linux 上运行。

Burp

Burp Suite中的 Web 漏洞扫描器使用 PortSwigger 的研究来帮助用户自动发现 Web 应用程序中的各种漏洞,例如,Burp Collaborator 识别其目标和外部服务器之间的交互,以检查传统扫描程序不可见的错误,例如异步 SQL 注入和盲目的服务器端请求伪造 (SSRF)。

Burp Scanner 中的爬网引擎位于 Burp Suite Enterprise Edition 和 Burp Suite Professional 等大型套件的核心,可消除跨站点请求伪造 (CSRF) 令牌、有状态功能以及过载或易变 URL 等障碍。其嵌入式 Chromium 浏览器呈现和抓取 JavaScript。爬行算法以与测试人员类似的方式建立其目标的配置文件。

Burp 还旨在处理动态内容、不稳定的互联网连接、API 定义和 Web 应用程序。此外,可以单独或按组选择扫描检查,并且可以保存自定义配置 - 例如仅报告出现在 OWASP Top 10 中的漏洞的扫描配置。

BBQSQL

BBQSQL是一个基于 Python 的注入利用工具,它消除了编写自定义代码和脚本以解决 SQLi 问题的大量乏味。它主要用于处理更复杂的 SQL 注入漏洞。由于它是半自动的且与数据库无关,因此它简化了定制并且相对易于使用。

它还利用基于 Python 的工具来提高性能。用户提供数据,例如受影响的 URL、HTTP 方法和其他输入作为设置的一部分。他们还必须指定注入的去向,以及注入的语法。

Blisqy

Blisqy处理 HTTP 标头上基于时间的盲 SQL 注入。这种漏洞利用可通过盲 SQL 注入,对可打印的 ASCII 字符进行按位运算,从而从数据库中抽取慢速数据。它支持 MySQL 和 MariaDB 数据库。

由于它是用 Python 编写的,因此可以将其导入其他基于 Python 的脚本中。Blisqy 是一种快速有效的补偿网络延迟和其他延迟的方法,因为它的时间比较是动态的,并且在每次测试的运行时计算。

Acunetix Web 漏洞扫描程序

Invicti 的Acunetix将 SQL 注入测试作为其整体功能的一部分,即扫描基于 Web 的应用程序。它的多线程扫描程序可以在 Windows 和 Linux 上快速爬取数十万页。它识别常见的 Web 服务器配置问题,并且特别擅长扫描 WoRDPress。

它会自动创建所有网站、应用程序和 API 的列表,并使其保持最新状态。该工具还可以扫描 SPA、脚本繁重的网站以及使用 HTML5 和 JavaScript 构建的应用程序,并提供宏来自动扫描受密码保护和难以到达的区域。

Blind SQL Injection via Bit Shifting

Blind SQL Injection via Bit Shifting通过使用位移方法计算字符而不是猜测字符来执行 SQL 盲注入。位移位将位的位置向左或向右移动。例如,00010111 可以转换为 00101110。盲 SQL 模块每个字符需要七个或八个请求,具体取决于配置。

Damn Small SQLi Scanner

Damn Small SQLi Scanner (DSSS) 由 SQLMap 的创建者之一组成,是一个紧凑的 SQLi 漏洞扫描器,由不到 100 行代码组成。除了用作漏洞扫描器之外,该工具还强调其执行某些与占用大量代码的工具相同的任务的能力。

但是,正如其大小所预期的那样,它具有一定的局限性。例如,它只支持 GET 参数而不支持 POST 参数。

Leviathan

Leviathan的特点是工具的大规模审计集合。因此,它包含一系列用于服务发现、暴力破解、SQL 注入检测和运行自定义漏洞利用功能的功能。它内部包含了几个开源工具,包括masscan、ncrack和DSSS,可以单独使用,也可以组合使用。

此外,它还可以发现在特定国家或 IP 范围内运行的 FTP、SSH、Telnet、RDP 和 MySQL 服务。然后可以通过 ncrack 对发现的服务进行暴力破解。命令可以在受感染的设备上远程运行。针对 SQLi 漏洞,它可以在带有国家扩展名的网站上检测到它们。

NoSQLMap

NoSQLMap是一个可用于审计的 Python 工具。它通常用于 SQL 注入攻击的自动化,并用于发现NoSQL 数据库和使用 NoSQL 从数据库中披露或克隆数据的 Web 应用程序中的默认配置漏洞。

这个开源工具维护得很好,可以看作是 SQLMap 的表亲。顾名思义,NoSQL 解决了与关系数据库中使用的表格方法不同的数据模型。但是 NoSQL 数据库确实支持类似 SQL 的查询语言,因此受制于 SQLi。NoSQLMap 主要关注 MongoDB 和 CouchDB。未来的版本将扩大其曲目。

Tyrant SQL

Tyrant SQL是一个基于 Python 的 GUI SQL 注入工具,类似于 SQLMap。它的 GUI 允许更大的简单性。这使得初学者更容易分析易受攻击的链接并确定弱点所在。

Whitewidow

Whitewidow是另一个开源 SQL 漏洞扫描程序。由于它是自动化的,它可以快速运行一个长文件列表或从谷歌搜索潜在易受攻击的网站。

Whitewidow 还提供其他功能,例如自动文件格式化、随机用户代理、IP 地址、服务器信息和多 SQL 注入语法。该工具还提供了从其中启动 SQLMap 的能力。

然而,Whitewidow 与其说是一种补救工具,不如说是一种教育工具。它可以帮助用户了解漏洞是什么样的,但它依赖于 SQLMap 来获得更强大的 SQLi 检测功能。

Explo

Explo是一个基本工具,旨在以人类和机器可读的格式描述 Web 安全问题。它定义了一个请求/条件工作流,允许它在无需编写脚本的情况下利用安全问题。

因此,它可以解决复杂的漏洞,并以简单的可读和可执行格式共享它们。

什么是 SQL 注入?

结构化查询语言或 SQL 是一种在Microsoft SQL Server、Oracle、IBM DB2 和 MySQL 等关系数据库中大量使用的语言。由于数据库倾向于为企业托管敏感信息,恶意 SQL 注入可能导致敏感信息泄露、Web 内容修改和数据删除。

然后,SQLi 会利用基于 SQL 的应用程序中存在的漏洞。黑客将代码注入 SQL 查询,使他们能够添加、修改和删除数据库项目。

但受影响的不仅仅是数据库。SQLi 可以传播到连接到 SQL 数据库的 Web 应用程序和网站。根据开放 Web 应用程序安全项目 (OWASP),注入是 Web 应用程序最普遍的威胁。

如何防止 SQL 注入?

SQLi 攻击执行恶意 SQL 查询,可用于绕过应用程序安全性,避免授权和身份验证登录和系统。攻击因数据库引擎的类型而异。最常见的变体包括基于用户输入的 SQLi、基于 cookie 的 SQLi、基于 HTTP 标头的 SQLi 和二阶 SQLi。

SQLi 的缓解和预防最初都是为了了解哪些应用程序可能易受攻击——这意味着任何与 SQL 数据库交互的网站。漏洞扫描是评估您可能面临风险的好方法。另一种方法是进行渗透测试。这本质上是试图闯入您的系统并找到任何可以利用的缺陷。

版权申明:内容来源网络,版权归原创者所有。除非无法确认,都会标明作者及出处,如有侵权,烦请告知,我们会立即删除并致歉!

,
    推荐阅读
  • 孩子晕车要吐怎么办(孩子晕车解决方法)

    以下内容大家不妨参考一二希望能帮到您!孩子晕车要吐怎么办小孩子晕车时出现呕吐是一种很常见的情况。首先,为了预防晕车呕吐可以在乘车前口服晕车药。其次,乘车前睡眠要充足,不要过度劳累,进食不要过饱或者是过饥。再者,乘车时也可以尽量坐在汽车的前部减少颠簸,注意开窗通风。

  • 柯达相机广告(我与柯达相机的故事)

    成立了自己的公司NagelCameraWerksAG,生产Nagel系列相机,包括玻璃板、胶片和胶卷相机。Retina相机以其紧凑的尺寸、高质量和低成本而赢得用户的好评,但小问题颇多,只能不断改进技术推出新款相机。RetinaII共有四大类型号,其中又衍生不同版本。此款因生产极其稀少目前市面价格接近2万余元一台,是柯达相机价值比较大的一款。公司在2019年入职的一名结构工程师姓李,是公司入职的第一位结构工程师。

  • 农民工工资被冻结情况(解冻了这个账户后)

    依据原告的诉讼保全申请,天台法院依法裁定冻结了三家被告公司名下的银行账户,共计人民币711万元。新昌公司提出异议:公司名下被保全的其中一个账户是某工程民工工资的专用账户,目前账户内共有资金59.4万。对此,负责该案的忻法官立即向各公司的负责人了解相关情况。为证实异议属实,新昌公司向法院提交了该账户的执行监管协议、交通工程款明细及工程款备案表、银行明细清单、银行2019年12月银流水等原件各一份。

  • 胃病怎么吃三餐养胃(春天养胃好时机)

    甚至会诱发一些新胃病,损害身体健康,因此,严防胃病很重要。木瓜含木瓜酵素,有助于分解并加速蛋白质吸收,可缓解消化不良和胃炎。常饮三水1、花草茶水饮茶,在调理脾胃方面,有其独特的优势。另外饭前一个小时左右服用温蜂蜜水,还可以抑制胃酸分泌,减少胃黏膜刺激。熬夜会削减胃屏障自保能力,大大增加胃溃疡的机会。

  • 赵丽颖冯绍峰9年前就有交集(赵丽颖冯绍峰官宣离婚)

    赵丽颖冯绍峰9年前就有交集赵丽颖和冯绍峰官宣离婚了。他们发布声明,向大家宣布,俩人已决定和平分手,结束婚姻关系,并已办理完相关手续。而她产后半年,早已拎上大刀赶往片场去了。热播剧《小舍得》中,蒋欣饰演的田雨岚,虽然前段与老公感情和睦。但布谷妈认为,他们的感情,其实是经不起折腾的。他与田雨岚的理念、思想早已不在同一条跑道上。

  • 番茄炒蛋的做法与步骤(具体是怎样的)

    以下内容希望对你有帮助!番茄炒蛋的做法与步骤番茄洗净切小块,放入碗中备用,蒜切片剁成末,备用。热油锅后,倒入鸡蛋液,煎熟后用锅铲铲散,盛出备用。热油锅放入蒜末爆香,放入番茄翻炒出汁,加入白糖翻炒均匀,放入鸡蛋翻炒均匀,加入适量的盐和鸡精翻炒均匀即可,这道番茄炒蛋就算完成。

  • 小雅伐木伐木丁丁鸟鸣嘤嘤的意思(该句出自何处)

    小雅伐木伐木丁丁鸟鸣嘤嘤的意思意思:咚咚作响伐木声,嘤嘤群鸟相和鸣。出自先秦佚名的《伐木》伐木丁丁,鸟鸣嘤嘤。神之听之,终和且平。既有肥羜,以速诸父。於粲洒扫,陈馈八簋。既有肥牡,以速诸舅。伐木于阪,酾酒有衍。民之失德,乾餱以愆。伐木呼呼斧声急,滤酒清纯无杂质。打扫房屋示隆重,嘉肴八盘桌上齐。伐木就在山坡边,滤酒清清快斟满。行行笾豆盛珍馐,兄弟叙谈莫疏远。有人早已失美德,一口干粮致埋怨。

  • 父母必读100本书籍(为人父母必读这三本书)

    今天终于读完了龙应台人生三书,推荐给所有父母,这是家庭教育课程中必修三本书。细细品读,会受益良多,不同时期的父母读来感受也不一样。目送中,“我慢慢地、慢慢地了解到,所谓父女母子一场,只不过意味着,你和他的缘分就是今生今世不断地在目送他的背影渐行渐远。你站在小路的这一端,看着他逐渐消失在小路转弯的地方,而且,他用背影默默告诉你:不必追”看哭了多少孩子已经成年的父母。人生,有些路,只能一个人走…

  • 身高有1米78体重是多少为正常(体重应该是多少才是比较正常的呢)

    身高有1米78体重是多少为正常?这些人有明显的肥胖症状,可能会引发很多的病症,应该要及时去医院进行检查,并且开始减肥。有些女性因为平时对于自己的身材比较苛刻,所以会达不到120斤,只有110斤左右,其实这也是正常的,只是属于偏瘦情况,而140斤高出的话,则是属于偏胖的现象。

  • 最值钱的翡翠烟嘴(市场上最值钱的翡翠烟嘴一览)

    最值钱的翡翠烟嘴老翡翠烟嘴本来是清朝十分盛行的一种烟具,但随着历史的迁徙,发展到现在,老翡翠烟嘴已经是非常少见的了。所以说如果你在现在的社会上遇见了翡翠烟嘴,它很有可能是从清代遗留下来的老翡翠烟嘴,你可别小看这一个小小的老翡翠烟嘴,在现在的社会上,他们可是价值不菲哦。清代玉烟嘴,真品品种比较丰富;真品常见版式品相好的市场上一般喊价在100-10000左右;不过也有特殊品种版式。