众所周知,SQL注入攻击是最为常见的Web应用程序攻击技术。同时SQL注入攻击所带来的安全破坏也是不可弥补的。以下罗列的10款SQL注入工具可帮助管理员及时检测存在的漏洞。
1、BSQL Hacker
BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出注入。 BSQL Hacker的适用群体是那些对注入有经验的使用者和那些想进行自动SQL注入的人群。BSQL Hacker可自动对Oracle和MySQL数据库进行攻击,并自动提取数据库的数据和架构。
2、The Mole
The Mole是一款开源的自动化SQL注入工具,其可绕过IPS/IDS(入侵防御系统/入侵检测系统)。只需提供一个URL和一个可用的关键字,它就能够检测注入点并利用。The Mole可以使用union注入技术和基于逻辑查询的注入技术。The Mole攻击范围包括SQL Server、MySQL、Postgres和Oracle数据库。
3、Pangolin
Pangolin是一款帮助渗透测试人员进行SQL注入(SQL Injeciton)测试的安全工具。Pangolin与JSky(Web应用安全漏洞扫描器、Web应用安全评估工具)都是NOSEC公司的产品。Pangolin具备友好的图形界面以及支持测试几乎所有数据库(Access、MSSql、MySql、Oracle、Informix、DB2、Sybase、PostgreSQL、Sqlite)。Pangolin能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。Pangolin是目前国内使用率最高的SQL注入测试的安全软件。
4、Sqlmap
Sqlmap是一个自动SQL 注入工具。其可胜任执行一个广泛的数据库管理系统后端指纹,
检索DBMS数据库、usernames、表格、列、并列举整个DBMS信息。Sqlmap提供转储数据库表以及MySQL、PostgreSQL、SQL Server服务器下载或上传任何文件并执行任意代码的能力。
5、Havij
Havij是一款自动化的SQL注入工具,它能够帮助渗透测试人员发现和利用Web应用程序的SQL注入漏洞。Havij不仅能够自动挖掘可利用的SQL 查询,还能够识别后台数据库类型、检索数据的用户名和密码hash、转储表和列、从数据库中提取数据,甚至访问底层文件系统和执行系统命令,当然前提是有 一个可利用的SQL注入漏洞。Havij支持广泛的数据库系统,如 MsSQL, MySQL, MSAccess and Oracle。 Havij支持参数配置以躲避IDS,支持代理,后台登陆地址扫描。
6、Enema SQLi
Enema SQLi与其他 SQL注入工具不同的是,Enema SQLi不是自动的,想要使用Enema SQLi需要一定的相关知识。Enema SQLi能够使用用户自定义的查询以及插件对SQL Server和MySQL数据库进行攻击。支持基于error-based、Union-based和blind time-based的注入攻击。
7、SQLninja
SQLninja软件用Perl编写,符合GPLv2标准。SQLninja的目的是利用Web应用程序中的SQL注入式漏洞,它依靠微软的SQL Server作为后端支持。其主要的目标是在存在着漏洞的数据库服务器上提供一个远程的外壳,甚至在一个有着严格的防范措施的环境中也能如此。在一个SQL注入式漏洞被发现以后,企业的管理员特别是渗透攻击的测试人员应当使用它,它能自动地接管数据库服务器。现在市场上有许多其它的SQL注入式漏洞工具,但SQLninja与其它工具不同,它无需抽取数据,而着重于在远程数据库服务器上获得一个交互式的外壳,并将它用作目标网络中的一个立足点。
8、sqlsus
sqlsus是一个开放源代码的MySQL注入和接管工具,sqlsus使用perl编写并基于命令行界面。sqlsus可以获取数据库结构,注入你自己的SQL语句,从服务器下载文件,爬行web站点可写目录,上传和控制后门,克隆数据库等。
9、Safe3 SQL Injector
Safe3 SQL Injector是一个最强大和最易使用的渗透测试工具,它可以自动检测和利用SQL注入漏洞和数据库服务器的过程中。Safe3 SQL Injector具备读取MySQL、Oracle、PostgreSQL、SQL Server、Access、SQLite、Firebird、Sybase、SAP MaxDB等数据库的能力。同时支持向MySQL、SQL Server写入文件,以及SQL Server和Oracle中执行任意命令。Safe3 SQL Injector也支持支持基于error-based、Union-based和blind time-based的注入攻击。
10、SQL Poizon
SQL Poizon的图形界面使用户无需深厚的专业知识便能够进行攻击,SQL Poizon扫描注入工具内置浏览器可帮助查看注入攻击带来的影响。SQL Poizon充分利用搜索引擎“dorks”扫描互联网中存在SQL注入漏洞的网站。
相关推荐
dllInjector是一个dll注入工具,支持 win10最新版。 它具有以下特性: 多种外观和允许自定义GUI 进程列表选择或者桌面程序选择 多dll注入支持(并支持enable/disable选择) 自动开启注入 隐藏注入行为 dll抢占式注入...
网络工具sql注入式攻击破解数据库后台登录密码
PHP,是英文超级文本预处理语言Hypertext Preprocessor的缩写。PHP 是一种 HTML 内嵌式的语言,是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,被广泛的运用。
普通注入,cookies注入,中转注入,可自己灵活构键注入句话。扔开傻瓜式工具,学习的好帮手。
SQL注入攻击实验报告,自己写了试验的网站,举了一些基本的攻击和防御方法,有xp_cmdshell的执行,用的是sqlserver 2005
URL采集器,可以根据关键词采集,SQL注入器,傻瓜式找注入点,仅供学习使用,不能用于非法用途,大家可以根据需要下载
最好配合procexp.exe 这款进程管理工具来使用
SQL注入工具,速度快,新品,快速检测检测表段傻瓜式操作
古董级工具 构建工具 字节码操作 集群管理 代码分析 编译器生成工具 外部配置工具 约束满足问题求解程序 持续集成 CSV解析 数据库 数据结构 时间日期工具库 依赖注入 开发流程增强工具 分布式应用 分布式数据库 发布...
SQL注入式攻击...............................................
“HOOK xxxx注入” 这些是创建进程时hook函数再注入(原理是远程HOOK,在回调函数里注入),适用于测试破解补丁(启动式破解) “支持mfc”表示支持mfc的dll,易语言静态编译的dll就是mfc。 “驱动级” 让合法程序...
IOS性能测试,注入式工具 。利用GT,仅凭一部手机,无需连接电脑,您即可对APP进行快速的性能测试(CPU、内存、流量、电量、帧率/流畅度等等)、开发日志的查看、Crash日志查看、网络数据包的抓取、APP内部参数的调试...
2.3.3 终止式SQL注入 51 2.3.4 时间延迟 59 2.4 自动寻找SQL注入 60 2.5 本章小结 68 2.6 快速解决方案 68 2.7 常见问题解答 69 第3章 复查代码中的SQL注入 71 3.1 概述 72 3.2 复查源代码中的SQL注入 72 3.2.1 ...
《暗战强人:黑客及反黑客工具快速精通》紧紧围绕黑客防范技巧与工具展开,在剖析用户进行黑客防御中迫切需要用到或想要用到的技术时,力求对其进行“傻瓜”式的讲解,使读者对网络防御技术形成系统了解,能够更好地...
模块注入提供级联式注入 2.增加计算工具 3.计算代码测试工具 4.提供界面测边隐藏功能 5.提供添加程序启动快捷通道。 修正问题: 1.修正DLL需要两次才能加载的问题。 2.修正DLL卸载,程序退出问题。 支持拖动...
2.3.3 终止式SQL注入 2.3.4 时间延迟 2.4 自动寻找SQL注入 2.5 本章小结 2.6 快速解决方案 2.7 常见问题解答 第3章 复查代码中的SQL注入 3.1 概述 3.2 复查源代码中的SQL注入 3.2.1 危险...
allinjection小工具,可用于dll注入攻击,无需撰写程式码,可用于网路安全教学。
强大的正则式匹配符及多种取值方式,可方便获取各种CALL和偏移 复制结果自定义格式,方便各种语言的直接使用 三、汇编测试 代码高亮显示、关键字自动补齐,更不易出错 CALL参数检测,确保目标程序不会因堆栈问题崩溃...
1.6 R和JSON的傻瓜式编程 29 1.7 R语言的高质量图形渲染库Cairo 40 1.8 caTools:一个奇特的工具集 46 第2章 时间序列基础包 58 2.1 R语言时间序列基础库zoo 58 2.2 可扩展的时间序列xts 75 2.3 时间序列可视...
1、一站式页面调试工具,远程调试任何手机浏览器页面,任何手机移动端webview(如:微信,HybirdApp等)HTTP/HTTPS。 2、spy-debugger内部集成了weinre。 3、支持HTTPS页面的调试。 安装 ...