sqlmap

sqlmap egy automatikus vak SQL injection eszköz, kidolgozott python, amely képes felsorolni teljes távoli adatbázis, végre egy aktív adatbázis ujjlenyomat és még sok más.
sqlmap célja az, hogy végre egy teljesen működőképes adatbázis leképező eszköz, amely úgy előnyeit webes alkalmazás programozási biztonsági hibákat, amelyek miatt az SQL injekciós sebezhetőség.

Tulajdonságok :

• A távvezérlő url stabilitás alapján oldalon hash vagy string mérkőzés;
• azonosítása url dinamikus paraméterek;
• Test numerikus, string (idézőjel és dupla idézőjelek) SQL injection minden url dinamikus paraméterek és először kiszolgáltatott az lesz a feladata, hogy hajtsa végre a jövőben az SQL injekció;
• Lehetséges kiválasztása HTTP vizsgálati módszere és kiaknázása dinamikus paraméterek, GET vagy POST (alapértelmezett: GET);
• Fingerprint a web alkalmazás adatbázis back-end alapján egyedi lekérdezések kimeneti amelyek azonosítják adatbázis jellemzőiről és banner rángatás;
• Random HTTP User-Agent fejléc kiválasztása;
• HTTP Cookie fejléc, feltéve, hasznos, ha webes alkalmazás, amely megköveteli engedély alapján sütiket, és akkor egy számlát;
• Adjon meg egy anonim HTTP proxy címét, hogy adja át a kérést, hogy a cél url;
• Más parancssori paramétereket, hogy az adatbázisban banner, felsorolni adatbázisok, táblák, oszlopok, billenő értékek, letölteni egy tetszőleges fájl tartalmát, és saját SQL véleménynyilvánítás lekérdezni távoli adatbázis;
• Debug kimeneti üzenetek bőbeszédű módban végrehajtását;
• PHP beállítás magic_quotes_gpc adókijátszása kódoló minden query string, egy- idézetek, a CHAR (vagy hasonló) adatbázis funkciót.
• véleményezte a könyvtár fa szerkezete;
• Osztott lib / common.py: inband injekció funkciók most már
• költözött lib / union.py;
• Frissítve dokumentációs fájlokat.

Mi az új ebben a kiadásban:

• Ez a verzió tartalmaz egy teljesen újraírt és erős SQL injection felismerés motor , a képesség, hogy csatlakoztassa közvetlenül egy adatbázis szerver, támogatja a időalapú vak SQL injection és hiba-alapú SQL injection, támogatást négy új adatbázis-kezelő rendszerek, és még sok más.

Mi az új verzióban 0.6.4:

• A nagymértékű bővítését hajtotta végre, hogy az összehasonlítás algoritmus működjenek a URL-ek, amelyek nem stabilak használatával difflib Sequence Matcher objektumot.
• A nagymértékű bővítését azért történt, hogy támogatja az SQL adatok meghatározása nyilatkozatok, SQL adatkezelési nyilatkozatokat, et cetera a felhasználó az SQL lekérdezés és SQL shell, ha egymásra lekérdezéseket támogatja a webes alkalmazás technológia.
• A nagy sebesség növekedés történt DBMS alap ujjlenyomat.

Mi az új verzióban 0.6.1:

• A nagy hibajavítás történt a vak SQL injection szögfelezés algoritmus kezelni kivétel.
• A Metasploit Framework 3 kiegészítő modult adunk futtatni sqlmap.
• Az a lehetőség, hogy tesztelje a és adja is LIKE nyilatkozatok valósult meg.

Mi az új a 0.6 verzió:

• A teljes kódot Refactor és sok hiba javítása;
• Added többszálú támogatást beállítani a maximális számú egyidejű HTTP kérések;
• Megvalósult SQL shell (--sql-shell) funkcionalitás és fix SQL lekérdezés (--sql-lekérdezés, mielőtt az úgynevezett -e), hogy képes legyen futtatni bármit SELECT és kap a kimeneti mindkét sávon belüli és vak SQL injection támadást ;
• Bekerült egy opció (--privileges) letölteni DBMS felhasználók kiváltságokat, ez is értesíti, ha a felhasználó egy DBMS ügyvezető;
• A támogatás (-c) olvasni beállításokat konfigurációs fájl, egy példa érvényes INI fájl sqlmap.conf és támogatás (--save) menteni parancssori opciókat a konfigurációs fájl;
• Létrehozott egy függvényt, amely frissíti az egész sqlmap a legújabb stabil verzió futtatásával sqlmap a --update lehetőség;
• Alkotó sqlmap .deb (Debian, Ubuntu, stb), és rpm (Fedora, stb) telepítési bináris csomagokat;
• Alkotó sqlmap .exe (Windows) hordozható végrehajtható;
• menteni egy csomó több információt a munkamenet fájlt, hasznos, ha visszatérnének injekció ugyanazon cél, hogy ne laza idő azonosítására injekciót, UNION mezőket és a back-end adatbázis-kezelő rendszert kétszer vagy többször;
• Továbbfejlesztett automatikus ellenőrzés a zárójelet, ha tesztelés és a kovácsolás SQL lekérdezés vektor;
• Most ellenőrzi a SQL injection minden GET / POST / Cookie paraméterek, akkor ez lehetővé teszi a felhasználó kiválaszthatja, hogy melyik paramétert az injekció beadására vonatkozó esetén, hogy az több injekciós;
• támogatását valósította HTTPS kéréseket HTTP (S) proxy;
• Hozzáadás a check kezelni NULL vagy nem elérhető lekérdezések eredményében;
• Több entrópia (randomStr () és randomInt () függvények lib / core / common.py) a sávon belüli SQL injection összefűzött lekérdezést és ÉS feltétel ellenőrzéseket;
• Továbbfejlesztett XML-fájlok szerkezete;
• végrehajtotta azt a lehetőséget, hogy módosítsa a HTTP fejléc Referer;
• A támogatás folytatásához a session fájl is, amikor fut a sávon belüli SQL injection támadást;
• Bekerült egy opció (--os-shell), hogy végre az operációs rendszer parancsainak, ha a back-end DBMS MySQL, a web szerver a PHP motor aktív és engedélyek írást az a könyvtár a dokumentum gyökér;
• Added egy csekket, hogy biztosítsa, hogy a nyújtott reguláris (--string) belül van az oldal tartalmát;
• Fix különböző lekérdezések XML fájl;
• Added LIMIT, ORDER BY és számlálását az XML fájlt, és alkalmazkodott a könyvtár értelmezni azt;
• Fix jelszó lekérése funkció, elsősorban a Microsoft SQL Server és áttekintette a jelszó hash elemző funkció;
• Major hiba javítva elkerülése tracebacks amikor a tesztelhető paraméter (ek) dinamikus, de nem injekciós;
• Továbbfejlesztett naplózási rendszer: hozzá még három szintje beszédességgel megjeleníthető is HTTP küldött és fogadott forgalom;
• Enhancement kezelni Set-Cookie-re megcélzott url és automatikusan újra felépíti a Session mikor jár le;
• A támogatás beadni is Set-Cookie paraméterek;
• Megvalósult TAB befejezése és a parancsok közt mindkét --sql-héj és --os-shell;
• átnevezték parancssori opciók;
• Hozzáadás a konverziós könyvtár;
• Added kód séma és emlékeztetők a jövőbeni fejlesztéseknél;
• szerzői jogi megjegyzést, és $ Id $ svn ingatlan minden Python-fájlok;
• Frissítve parancssorból elrendezés és üzenetek segítséget;
• Frissítve néhány docstrings;
• Frissítve dokumentációs fájlokat.