SQL injection

黑帽黑客和渗透测试安全专家经常使用相同的工具进行数据库攻击,获取更高权限甚至接管重要数据库。以下是安全牛为大家精选了国外黑帽与安全专家经常使用的十大SQL注入工具。

1.BSQL Hacker

SQL注入工具 1

由Portcullis Labs开发,BSQL Hacker是一种自动化SQL注入框架,支持SQL盲注,定时盲注,深度盲注和错误识别盲注。

2.The Mole

SQL注入工具 2

Mole是一个开源工具,能够绕过一些使用普通过滤规则的IPS/IDS系统。通过Union和Boolean查询技术,Mole能够通过一个脆弱的URL或网站的一串字符就能侦查和实施注入。Mole的命令行工具支持攻击MySQL、SQL Server、Postgres和Oracle数据库。

3.Pangolin

SQL注入工具 3

与web安全漏洞扫描器JSky工具出自同一家公司——NOSEC,Pangolin是一个完整的SQL注入测试工具,有一个用户友好的GUI,能够攻击几乎市场上所有的数据库。Pangolin通常被白帽社区用作渗透测试工具。

4.Sqlmap

SQL注入工具 4

号称自动化SQL注入和数据库接管工具,Sqlmap是开源工具,支持使用五中SQL注入技术攻击数据库,如果用户拥有DBMS账户、IP地址端口和数据库名称,则可以实施直接攻击。可通过内置的字典攻击用户名密码哈希值。

5.Havij

SQL注入工具 5

Havij是在全球黑帽黑客中非常流行的一个工具,由伊朗开发者开发,Havij在波斯语里是胡萝卜的意思(编者按:暗指男根)。Javij可攻击MySQL、Oracle、PostgreSQL、MS Access和Sybase,攻击成功率号称有95%。

6.Enema SQLi

SQL注入工具 6

与很多自动化工具面向技术水平不高的用户不同,Enema并非自动化攻击软件,正如其开发者“mastermind”所言:这是给知道自己在做神马的专家准备的工具。

7.Sqlninja

SQL注入工具 7

SQLninja 是一个用Perl编写的用来检测SQL Server 的SQL注入攻击的工具。支持 Linux\BSD\Mac系统。

8.  sqlsus

SQL注入工具 8

sqlsus是一款开源MySQL注入和接管工具,sqlsus采用命令行界面,用户可以注入自己的SQL查询,下载文件,爬行网站寻找可写入目录,克隆数据库以及上传和控制后门。

9.Safe3 SQL Injector

SQL注入工具 9

Safe3 SQL Injector可能是互联网上能找到的最简单易用的自动化注入工具,可以自动侦测SQL注入漏洞并进行攻击,直至最后接管数据库。Safe3 SQL还能自动识别数据库类型,并选择最佳的SQL注入方法。

10.SQL Poizon

SQL注入工具 10

SQL Poizon是一个SQL注入扫描器,能够利用搜索引擎搜罗互联网上有SQL注入漏洞的网站。该工具内建浏览器和注入任务工具检查注入效果。SQL Poizon的界面非常简单,即使没有多少技术功底的人也能轻松上手。