Veiligheid

Lijst met BESTE SQLi-HULPMIDDELEN

Lijst met BESTE SQLi-HULPMIDDELEN
SQL-injectie, ook wel SQLi genoemd, is een techniek waarbij datagestuurde applicaties kunnen worden aangevallen via kwaadwillig geïnjecteerde SQL-code. Aanvallers kunnen databases openen, wijzigen of vernietigen met behulp van SQLi. Het is een van de meest gebruikte technieken bij webhacking.

Hoewel SQL-injectie gevaarlijk kan zijn, kan het uitvoeren van verschillende opdrachten door webpagina-invoer om SQLi uit te voeren een zeer hectische klus zijn. Van het verzamelen van gegevens tot het ontwikkelen van de juiste lading kan een tijdrovende en soms frustrerende klus zijn. Dit is waar de tools in het spel komen. Er zijn talloze tools beschikbaar voor het testen en exploiteren van verschillende soorten SQL-injecties. We zullen enkele van de beste bespreken.

Havij:

Havij (wat wortel betekent in het Perzisch) is een tool van ITSecTeam, een Iraans beveiligingsbedrijf. Het is een volledig geautomatiseerde SQLi-tool met GUI en ondersteunt een verscheidenheid aan SQLi-technieken. Het is ontwikkeld om penetratietesters te helpen bij het vinden van kwetsbaarheden op webpagina's. Het is een gebruiksvriendelijke tool en bevat ook geavanceerde functies, dus het is goed voor zowel beginners als professionals. Havij heeft ook een Pro-versie. Het opwindende aan Havij is het 95% succesvolle injectiepercentage op kwetsbare doelen. Havij is alleen gemaakt voor Windows, maar je kunt wijn gebruiken om het op Linux te laten werken. Hoewel de officiële site van ITSecTeam al lange tijd niet beschikbaar is, zijn Havij en Havij Pro beschikbaar op veel websites en GitHub Repos.

BBQSQL:

BBQSQL, bekend als 'Blind SQL'-injectieraamwerk, helpt u problemen aan te pakken wanneer de beschikbare exploitatietools niet werken. Het is geschreven in python en is een soort semi-automatisch hulpmiddel dat tot op zekere hoogte maatwerk mogelijk maakt voor complexe SQL-injectie-bevindingen. BBQSQL stelt verschillende vragen in een menugestuurde benadering en creëert vervolgens de injectie/aanval op basis van de reactie van de gebruiker. Het is een zeer veelzijdige tool met een ingebouwde gebruikersinterface om het gebruik ervan te vergemakkelijken. En het gebruik van python gevent maakt het behoorlijk snel. Het biedt informatie over cookies, bestanden, HTTP-authenticatie, proxy's, URL, HTTP-methode, headers, coderingsmethoden, omleidingen, enz. De vereisten vóór gebruik omvatten het instellen van parameters, opties en vervolgens de aanval configureren zoals vereist. De configuratie van de tool kan worden gewijzigd om een ​​frequentie of een binaire zoektechniek te gebruiken. Het kan ook bepalen of de SQL-injectie werkte door gewoon te zoeken naar enkele specifieke waarden in de HTTP-antwoorden van de applicatie. Er wordt een foutbericht weergegeven door de database die klaagt over de onjuiste syntaxis van SQL Query als de aanvaller SQL-injectie met succes misbruikt. Het enige verschil tussen Blind SQL en normale SQL-injectie is de manier waarop de gegevens uit de database worden opgehaald.

Installeer BBQSQL:

$ apt-GET installeer bbqsql

Leviathan:

Het woord Leviathan verwijst naar een zeedier, zeeduivel of zeemonster. De tool is zo genoemd vanwege zijn aanvallende functie. De tool werd voor het eerst gelanceerd op Black Hat USA 2017 Arsenal. Het is een raamwerk dat bestaat uit veel open source-tools, waaronder masscan, ncrack, DSSS, enz. om verschillende acties uit te voeren, waaronder SQLi, aangepaste exploit, enz. De tools kunnen ook in combinatie worden gebruikt. Het wordt vaak gebruikt voor penetratietesttaken, zoals het ontdekken van machines en het identificeren van de kwetsbare, het opsommen van services die op deze apparaten werken en het vinden van aanvalsmogelijkheden door middel van aanvalssimulatie. Het kan kwetsbaarheden identificeren in Telnet, SSH, RDP, MYSQL en FTP. Leviathan is zeer bedreven in het controleren van SQL-kwetsbaarheden op URL's. Het basisdoel van de Leviathan-tool is om enorme scans op veel systemen tegelijk uit te voeren. De vaardigheid om te controleren op SQL-kwetsbaarheden maakt leviathan. De afhankelijkheden die nodig zijn om Leviathan Framework te gebruiken zijn bs4, shodan, google-API-python-client, lxml, paramiko, verzoeken.

Leviathan installeren:

$  git-kloon https://github.com/leviathan-framework/leviathan.git
$  cd leviathan
$  pip install -r vereisten.tekst

Witte weduwe:

Whitewidow is een veelgebruikte tool voor het scannen van kwetsbaarheden in applicatiebeveiliging en penetratietesten. De meeste mensen die geïnteresseerd zijn in deze tool zijn pentesters en beveiligingsprofessionals. Whitewidow is ook open-source en is een geautomatiseerde SQL-kwetsbaarheidsscanner die een bestandslijst of Google kan gebruiken om potentieel kwetsbare websites te schrapen. Het hoofddoel van deze tool was om te leren en gebruikers te vertellen hoe kwetsbaarheid eruitziet. WhiteWidow vereist enkele afhankelijkheden om te werken, zoals: mechaniseren, nokogiri, rest-client, webmock, rspec en vcr. Het is ontwikkeld in een ruby ​​programmeertaal. Duizenden zorgvuldig onderzochte zoekopdrachten worden gebruikt om Google te schrapen voor het vinden van kwetsbaarheden op verschillende websites. Wanneer u Whitewidow start, begint het meteen te controleren op kwetsbare sites. Ze kunnen later handmatig worden misbruikt.

Installeer WhiteWidow:

$  git-kloon https://github.com/WhitewidowScanner/whitewidow.git
$  cd whitewidow
$  bundelinstallatie

jSQL-injectie:

jSQL is een op Java gebaseerde automatische SQL-injectietool, vandaar de naam jSQL.
Het is FOSS en is platformonafhankelijk. Het is samengesteld met behulp van bibliotheken zoals Hibernate, Spock en Spring. jSQL Injection ondersteunt 23 verschillende databases, waaronder Access, MySQL, SQL Server, Oracle, PostgreSQL, SQLite, Teradata, Firebird, Ingris en nog veel meer. jSQL-injectie is geplaatst op GitHub en gebruikt platform Travis CI voor continue integratie. Het controleert op meerdere injectiestrategieën: Normaal, Fout, Blind en Tijd. Het heeft andere functies, zoals zoeken naar beheerpagina's, brute kracht van wachtwoord-hash, creatie en visualisatie van webshell en SQL-shell, enz. jSQL Injection kan ook bestanden lezen of schrijven.
jSQL-injectie is beschikbaar in besturingssystemen zoals Kali, Parrot OS, Pentest Box, BlackArch Linux en andere distro's voor het testen van pen.

jSQL installeren:

$ apt-GET install jsql

SQLmap

SQLmap is een geautomatiseerd hulpmiddel geschreven in python dat automatisch controleert op SQL-kwetsbaarheden, deze exploiteert en databaseservers overneemt. Het is gratis en open-source software en is waarschijnlijk de meest gebruikte tool voor het testen van kwetsbare SQLi-doelen met de pen. Het is gratis en open-source software met een verbazingwekkend krachtige detectie-engine. Gemaakt door Daniele Bellucci in 2006, werd het later ontwikkeld en gepromoot door Bernardo Damele. De meest opvallende stap in de ontwikkeling van sqlmap was Black Hat Europe 2009, die in de schijnwerpers kwam te staan ​​met alle media-aandacht. SQLmap ondersteunt de meeste soorten databases, SQL-injectietechnieken en het kraken van wachtwoorden op basis van op woordenboeken gebaseerde aanvallen. Het kan ook worden gebruikt om bestanden in een database te bewerken/downloaden/uploaden. De opdracht getsystem van Meterpreter (Metasploit) wordt gebruikt voor escalatie van bevoegdheden. Voor ICMP-tunneling is een impacket-bibliotheek toegevoegd. SQLmap biedt het ophalen van resultaten met behulp van recursieve DNS-resolutie veel sneller dan op tijd gebaseerde of boolean-gebaseerde methoden. SQL-query's worden gebruikt om vereiste DNS-verzoeken te activeren. SQLmap wordt ondersteund door python 2.6,2.7 en python 3 en later.
Volgens Ed Skoudis is een complete SQLmap-aanval afhankelijk van een 5-stappenmodel:

  1. Verkenning
  2. Scannen
  3. Exploiteren
  4. Toegang behouden
  5. Covering tracks

Installeer SQLmap:

$  apt-GET install sqlmap

Of

$  git-kloon https://github.com/sqlmapproject/sqlmap.git
$  cd sqlmap
$  python sqlmap.py

Hoewel deze lijst compact is, bevat deze de meest populaire tools die worden gebruikt voor het detecteren en exploiteren van SQLi. SQL-injectie is een veel voorkomende kwetsbaarheid en is er in verschillende vormen, dus de tools zijn erg handig voor het detecteren van deze kwetsbaarheden en helpen veel penetratietesters en scriptkiddies om het werk op een heel gemakkelijke manier te doen.

Gelukkig injecteren!

Disclaimer: het hierboven geschreven artikel is alleen voor educatieve doeleinden. Het is de verantwoordelijkheid van de gebruiker om de hierboven gegeven tools niet op een doel te gebruiken zonder toestemming.

Muis Wijs uw muisknoppen anders toe voor verschillende software met X-Mouse Button Control
Wijs uw muisknoppen anders toe voor verschillende software met X-Mouse Button Control
Misschien heeft u een tool nodig waarmee u de bediening van uw muis kunt veranderen bij elke applicatie die u gebruikt. Als dit het geval is, kunt u e...
Muis Microsoft Sculpt Touch draadloze muis Review
Microsoft Sculpt Touch draadloze muis Review
Ik las onlangs over de Microsoft Sculpt Touch draadloze muis en besloot hem te kopen. Nadat ik het een tijdje had gebruikt, besloot ik mijn ervaring e...
Muis AppyMouse trackpad en muisaanwijzer op het scherm voor Windows-tablets
AppyMouse trackpad en muisaanwijzer op het scherm voor Windows-tablets
Tabletgebruikers missen vaak de muisaanwijzer, vooral wanneer ze gewend zijn om de laptop te gebruiken. Het touchscreen Smartphones en tablets hebben ...