`
angelguo
  • 浏览: 120419 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

10款注入式工具

 
阅读更多

 众所周知,SQL注入攻击是最为常见的Web应用程序攻击技术。同时SQL注入攻击所带来的安全破坏也是不可弥补的。以下罗列的10款SQL注入工具可帮助管理员及时检测存在的漏洞。

1、BSQL Hacker

BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出注入。 BSQL Hacker的适用群体是那些对注入有经验的使用者和那些想进行自动SQL注入的人群。BSQL Hacker可自动对Oracle和MySQL数据库进行攻击,并自动提取数据库的数据和架构。

2、The Mole

The Mole是一款开源的自动化SQL注入工具,其可绕过IPS/IDS(入侵防御系统/入侵检测系统)。只需提供一个URL和一个可用的关键字,它就能够检测注入点并利用。The Mole可以使用union注入技术和基于逻辑查询的注入技术。The Mole攻击范围包括SQL Server、MySQL、Postgres和Oracle数据库。

3、Pangolin

Pangolin是一款帮助渗透测试人员进行SQL注入(SQL Injeciton)测试的安全工具。Pangolin与JSky(Web应用安全漏洞扫描器、Web应用安全评估工具)都是NOSEC公司的产品。Pangolin具备友好的图形界面以及支持测试几乎所有数据库(Access、MSSql、MySql、Oracle、Informix、DB2、Sybase、PostgreSQL、Sqlite)。Pangolin能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。Pangolin是目前国内使用率最高的SQL注入测试的安全软件。

4、Sqlmap

Sqlmap是一个自动SQL 注入工具。其可胜任执行一个广泛的数据库管理系统后端指纹,

检索DBMS数据库、usernames、表格、列、并列举整个DBMS信息。Sqlmap提供转储数据库表以及MySQL、PostgreSQL、SQL Server服务器下载或上传任何文件并执行任意代码的能力。

5、Havij

Havij是一款自动化的SQL注入工具,它能够帮助渗透测试人员发现和利用Web应用程序的SQL注入漏洞。Havij不仅能够自动挖掘可利用的SQL 查询,还能够识别后台数据库类型、检索数据的用户名和密码hash、转储表和列、从数据库中提取数据,甚至访问底层文件系统和执行系统命令,当然前提是有 一个可利用的SQL注入漏洞。Havij支持广泛的数据库系统,如 MsSQL, MySQL, MSAccess and Oracle。 Havij支持参数配置以躲避IDS,支持代理,后台登陆地址扫描。

6、Enema SQLi

Enema SQLi与其他 SQL注入工具不同的是,Enema SQLi不是自动的,想要使用Enema SQLi需要一定的相关知识。Enema SQLi能够使用用户自定义的查询以及插件对SQL Server和MySQL数据库进行攻击。支持基于error-based、Union-based和blind time-based的注入攻击。

7、SQLninja

SQLninja软件用Perl编写,符合GPLv2标准。SQLninja的目的是利用Web应用程序中的SQL注入式漏洞,它依靠微软的SQL Server作为后端支持。其主要的目标是在存在着漏洞的数据库服务器上提供一个远程的外壳,甚至在一个有着严格的防范措施的环境中也能如此。在一个SQL注入式漏洞被发现以后,企业的管理员特别是渗透攻击的测试人员应当使用它,它能自动地接管数据库服务器。现在市场上有许多其它的SQL注入式漏洞工具,但SQLninja与其它工具不同,它无需抽取数据,而着重于在远程数据库服务器上获得一个交互式的外壳,并将它用作目标网络中的一个立足点。

8、sqlsus

sqlsus是一个开放源代码的MySQL注入和接管工具,sqlsus使用perl编写并基于命令行界面。sqlsus可以获取数据库结构,注入你自己的SQL语句,从服务器下载文件,爬行web站点可写目录,上传和控制后门,克隆数据库等。

9、Safe3 SQL Injector

Safe3 SQL Injector是一个最强大和最易使用的渗透测试工具,它可以自动检测和利用SQL注入漏洞和数据库服务器的过程中。Safe3 SQL Injector具备读取MySQL、Oracle、PostgreSQL、SQL Server、Access、SQLite、Firebird、Sybase、SAP MaxDB等数据库的能力。同时支持向MySQL、SQL Server写入文件,以及SQL Server和Oracle中执行任意命令。Safe3 SQL Injector也支持支持基于error-based、Union-based和blind time-based的注入攻击。

10、SQL Poizon

SQL Poizon的图形界面使用户无需深厚的专业知识便能够进行攻击,SQL Poizon扫描注入工具内置浏览器可帮助查看注入攻击带来的影响。SQL Poizon充分利用搜索引擎“dorks”扫描互联网中存在SQL注入漏洞的网站。

分享到:
评论

相关推荐

    Injector注入工具.zip

    dllInjector是一个dll注入工具,支持 win10最新版。 它具有以下特性: 多种外观和允许自定义GUI 进程列表选择或者桌面程序选择 多dll注入支持(并支持enable/disable选择) 自动开启注入 隐藏注入行为 dll抢占式注入...

    注入式攻击的实例

    注入式攻击是网络安全领域的一种常见威胁,它发生在攻击者通过输入恶意代码到应用程序的输入字段,使得程序执行非预期的操作。这种攻击方式可以用来窃取敏感数据、篡改数据库记录或者控制整个系统。以下是对“注入式...

    明小子注入工具

    【明小子注入工具】是一款专用于SQL注入检测与利用的工具,它在IT安全领域具有一定的知名度。SQL注入是一种常见的网络安全攻击方式,攻击者通过在Web应用程序的输入字段中插入恶意SQL代码,来获取未经授权的数据访问...

    网络工具sql注入式攻击

    网络工具sql注入式攻击破解数据库后台登录密码

    sql注入检测工具

    "sql注入检测工具"就是为了帮助网站管理员检测并防止这类攻击而设计的。在本案例中提到的工具可能专门针对使用SQL Server数据库系统的网站。 SQL Server是微软公司开发的一款关系型数据库管理系统,广泛应用于企业...

    ASP.NET中如何防范SQL注入式攻击

    ASP.NET 是一种强大的 web 应用程序开发框架,然而,如同其他基于数据库的应用程序,它也可能面临 SQL 注入式攻击的威胁。SQL 注入是一种利用恶意 SQL 代码篡改正常查询,以获取未授权访问、数据泄露或破坏数据库的...

    SQL注入工具 pangolin

    Pangolin(穿山甲)是一款广泛应用于国内的SQL注入测试工具,它旨在帮助安全研究人员和Web开发者检测和防范此类攻击。 **Pangolin的特点与功能** 1. **自动化检测**:Pangolin提供了自动化的SQL注入扫描功能,能够...

    防止SQL注入式攻击

    在提供的"防止SQL注入式攻击.exe"和"SQLInner"这两个文件中,可能包含了一个示例程序或工具,用于演示如何防止SQL注入。运行或研究这些文件可以加深对防御机制的理解。不过,从安全角度出发,不应随意运行未知来源的...

    net中sql注入式攻击与防范秘籍

    ### .NET中SQL注入式攻击与防范秘籍 #### SQL注入概述 SQL注入是一种常见的网络安全攻击方式,攻击者通过在数据库查询中插入恶意SQL语句,以达到非法获取数据、篡改数据甚至控制整个数据库的目的。对于使用.NET...

    CASI 1.10 注入工具

    CASI 1.10 注入工具是一款由安全专家superhei开发的专业PHP注入检测和利用工具,它在当时的国内安全领域具有开创性意义,因为它是国内首个专为PHP环境设计的此类工具。这款工具的发布,标志着国内网络安全研究在Web...

    unloaddll.rar dll注入式木马的克星

    总的来说,Unloaddll.exe是一款针对DLL注入式木马的安全工具,通过监控和管理系统的DLL加载行为,帮助用户发现并移除潜在的恶意代码。配合procexp.exe,用户可以更深入地洞察系统内部情况,提高查杀效率。对于那些...

    行业文档-设计装置-墨水注入式钢笔.zip

    在书写工具领域,墨水注入式钢笔是一种深受用户喜爱的传统书写工具,其独特的设计和工作原理使其在众多笔类中独树一帜。本篇文档将深入探讨墨水注入式钢笔的设计理念、结构组成以及工作流程,旨在为相关设计人员提供...

    网站注入式攻击的原理与防范

    网站注入式攻击主要指的是SQL注入攻击,它是针对动态网页的一种安全威胁。攻击者利用网站应用程序在处理用户输入数据时的不严谨性,通过构造特定的输入,使得恶意SQL语句能够被执行,从而获取或篡改数据库中的敏感...

    行业文档-设计装置-注入式墨水笔及所用注射式墨水瓶.zip

    注入式墨水笔,顾名思义,是一种可以自行填充墨水的书写工具。这种笔的设计通常包括一个可拆卸的墨水储存部分,允许用户通过某种机制将墨水注入其中。相比于一次性墨囊或预装墨水的笔,注入式墨水笔的优势在于: 1....

    行业文档-设计装置-注入式吸墨水钢笔.zip

    7. **历史与文化**:注入式吸墨水钢笔在过去的几个世纪里一直是书写工具的重要组成部分,它不仅仅是一种实用工具,还承载着文化和艺术的象征意义。许多著名的作家、艺术家和政治家都曾使用过这种钢笔。 8. **现代...

    casi-php 注入工具 最新版

    标题中的"CASI-PHP注入工具"是一款专门针对PHP应用程序的安全测试工具,主要用于检测和利用可能存在的SQL注入漏洞。SQL注入是一种常见的网络安全问题,攻击者通过输入恶意SQL代码,以获取未授权的数据访问或控制...

    国外php注入工具

    PHP,是英文超级文本预处理语言Hypertext Preprocessor的缩写。PHP 是一种 HTML 内嵌式的语言,是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,被广泛的运用。

    AD2.32注入工具

    AD注入工具,如标题所提及的"AD2.32注入工具",可能被黑客用于非法目的,如控制系统、窃取数据或实施其他恶意行为。 **AD注入的原理与过程:** 1. **漏洞利用**:攻击者寻找AD服务器上的安全漏洞,这些漏洞可能存在...

    avi6,swf注入工具

    在IT行业中,"avi6,swf注入工具"是一个针对特定多媒体格式的软件工具,主要用于修改和处理SWF(Shockwave Flash)文件。这个工具的独特之处在于它能够直接对SWF文件进行注入操作,这意味着用户可以对SWF内容进行...

    SQL注入攻击实验报告

    ### SQL注入攻击实验报告知识点详解 #### 一、实验背景及目的 - **实验背景**:随着互联网技术的发展,Web应用程序越来越广泛地应用于各种场景之中。然而,由于开发者对安全性的忽视,使得许多Web应用程序存在安全...

Global site tag (gtag.js) - Google Analytics