科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道安防有道:实施自动SQL注入攻击测试(2)

安防有道:实施自动SQL注入攻击测试(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

SQL注入是一种安全漏洞。攻击者可以利用这个安全漏洞向网络表格输入框中添加SQL代码以获得访问权。

作者:yuanye 来源:赛迪网技术社区 2007年9月7日

关键字: 数据库 攻击测试 SQL Server SQL Server 各版本

  • 评论
  • 分享微博
  • 分享邮件

我喜欢的自动实施实际的SQL注入攻击的工具是SPI Dynamics公司的AQL注入器(这个工具是WebInspect软件的一部分)。你还可以使用图2显示的Absinthe。

安防有道:实施自动SQL注入攻击测试(2)

实施自动的SQL注入攻击测试图2:Absinthe工具用于自动实施SQL注入分析

这两种工具能够让你实施基本的和SQL盲注攻击。这两种测试都应该实施,特别是如果基本的SQL注入攻击没有返回任何结果的情况下。这些工具能够以自动的方式非常快地查询和提取数据,在几分钟之内就可以列印大量的表格。

其它选择包括Foundstone公司制作的一种免费的Web服务测试框架。这个工具的名称是“WSDigger”,能够实施基本的SQL注入攻击。你还可以使用Automagic SQL注入器进行一些自动的SQL注入查询。你还可以使用配置了SQL注入插件的“Sleuth”工具软件。但是,这个软件需要SA访问权限。这就消除了匿名外部测试的好处。

最后,如果你要在你现用的系统部外进行实际练习,并且学习更多的有关SQL注入和其它能够导致数据库被攻破的前端Web应用程序安全漏洞的知识,你可以查看Foundstone公司的“Hacme Bank”,或者参考一下Web安全演示工具“WebGoat”。

你使用什么工具自动实施SQL注入攻击测试都没有关系,只要你能够了解它们是如何工作的并且得到预期的结果就行了。就做黑客要做的事情就行了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章