sqlmap. ferramenta de injeção de SQL cego automático, desenvolvida em Python, capaz de executar um dedo do sistema de gerenciamento de banco de dados ativo
Baixe Agora

sqlmap. Classificação e resumo

sqlmap. Tag

Sql. injetar injeção injeção SQL testador de segurança de banco de dados Impressão digital de back-end de banco de dados

sqlmap. Descrição

ferramenta automática de injeção SQL cego, desenvolvido em python, capaz de realizar uma gestão de banco de dados dedo sistema SqlMap ativa é uma ferramenta automática de injeção SQL inteiramente desenvolvido em Python. SqlMap é capaz de realizar um extenso sistema de gerenciamento de banco de dados de impressões digitais back-end, ler arquivos de sistema, recuperar DBMS remoto bancos de dados, tabelas, nomes de usuário, colunas, DBMS inteiras enumerar e tirar proveito de fla segurança de programação de aplicações web. Principais características de SqlMap: suporte completo para MySQL, Oracle, PostgreSQL e sistema de gerenciamento de banco de dados back-end Microsoft SQL Server. Além destes quatro DBMS, SqlMap também pode identificar Microsoft Access, DB2, Informix e Sybase; gerenciamento de banco de dados extenso de impressão digital sistema de back-end com base em: mensagens de erro Inband DBMS DBMS bandeira parsing comparação de funções de saída SGBD DBMS específico apresenta como comentário injeção de MySQL Passive SQL fuzzing injeção É totalmente compatível com duas técnicas de injeção SQL: injeção SQL cego injeção Inband SQL, também conhecido como UNIÃO injeção de consulta SQL e parcialmente suporta injeção de SQL com base erro como um dos vetores de impressão digital sistema de gerenciamento de banco de dados; Ele testa automaticamente todos os GET fornecido, POST, Cookie e parâmetros User-Agent para encontrar os dinâmicos. Sobre estes que testa automaticamente e detecta os afetados pela injeção SQL. Além disso, cada parâmetro dinâmico é testado para numérico, única cadeia citado, cadeia dupla citado e todos estes três tipo com um e dois suportes para encontrar o qual é válida a sintaxe para realizar novas injecções com; É possível fornecer o nome do único parâmetro (s) que deseja realizar testes e uso de injeção em diante, sendo elas GET, POST, parâmetros de cookies; Ensaio de injecção de SQL e detecção não depende do sistema de gerenciamento de banco de dados back-end de aplicações web. SQL injeção de exploração e consulta sintaxe, obviamente, dependem do sistema de gerenciamento de banco de dados de aplicativo web back-end; Ele reconhece consultas válidas por aqueles falsos com base na comparação de saída HTML página hashes por padrão, mas também é possível optar por realizar tais ensaios com base em strings; solicitações HTTP podem ser realizados em ambos GET método HTTP e POST (padrão: GET); É possível realizar solicitações HTTP usando uma seqüência de cabeçalho HTTP User-Agent selecionados aleatoriamente a partir de um arquivo de texto; É possível fornecer um HTTP Cookies seqüência de cabeçalho, útil quando o aplicativo web requer autenticação baseada em biscoitos e você tem esses dados; É possível fornecer um endereço de proxy HTTP anônima e porta para passar pelas solicitações HTTP para o URL de destino; É possível fornecer os DBMS remotos de back-end se você já sabe que fazer SqlMap poupar algum tempo a impressão digital dele; Ele suporta várias opções de linha de comando para obter bandeira sistema de gerenciamento de banco de dados, o usuário DBMS atual, banco de dados DBMS atual, os usuários enumerar hashes usuários de senhas, bancos de dados, tabelas, colunas, despejo tabelas entradas, despejar os DBMS inteiras, recuperar um conteúdo de arquivo arbitrária (se os DBMS remoto é MySQL) e fornecer sua própria instrução SQL SELECT a ser avaliado; É possível fazer SqlMap detectar automaticamente se o parâmetro afetada também é afetado por uma injeção SQL consulta UNION e, em tal caso, usá-lo para explorar a vulnerabilidade; É possível excluir os bancos de dados do sistema ao enumerar tabelas, útil quando despejar os DBMS inteiras bancos de dados tabelas entradas e quiser ignorar os dados DBMS padrão; É possível visualizar o tempo estimado de chegada para cada saída da consulta, atualizado em tempo real durante a realização do ataque de injeção de SQL; Apoio para aumentar o nível de verbosidade das mensagens de output; É possível salvar as consultas realizadas e seu valor recuperado em tempo real em um arquivo de texto de saída e continuar a injeção retomar a partir de tal arquivo em um segundo tempo; PHP configuração magic_quotes_gpc derivação através da codificação de cada cadeia de consulta, entre plicas, com CHAR (ou semelhante) DBMS função específica. O que há de novo nesta versão: Importante reforço para fazer a comparação trabalho algoritmo corretamente também na url não estábulos automaticamente usando o difflib Sequence Matcher objeto; Importante reforço para instruções de definição de suporte de dados SQL, instruções de manipulação de dados SQL, etc de usuário na consulta SQL e SQL shell se as consultas empilhados são suportados pela tecnologia de aplicação web; aumento da velocidade importante no SGBD impressão digital de base; Menor aprimoramento para suportar uma opção (--IS-DBA) para mostrar se o usuário atual é um administrador do sistema de gerenciamento de banco de dados; Aprimoramento menor para suportar uma opção (--união-tech) para especificar a técnica a ser usada para detectar o número de colunas usadas na instrução Select Application Web: NULL BRUTEFORCING (padrão) ou ordem por cláusula Bruteforcing; Adicionado suporte interno a declarações de caixa de forjar, usada apenas por uma consulta --IS-DBA no momento; Ajuste de layout menor para a saída --update; Aumento do tempo limite padrão para 30 segundos; Correção de erros principais para lidar corretamente as consultas personalizadas do SQL "Limited" no Microsoft SQL Server e Oracle; Correção de erros principais para evitar rastreamentos quando vários alvos são especificados e um deles não é acessível; Menor Bug Fix para tornar a técnica de injeção do SQL da União Parcial, também funciona corretamente no Oracle e do Microsoft SQL Server; Correção de bugs menores para tornar o trabalho --postfix mesmo que --prefix não seja fornecido; Documentação atualizada.

sqlmap. Software Relacionado