ภาพหน้าจอของซอฟแวร์:
รายละเอียดซอฟแวร์:
sqlmap เป็นคนตาบอดอัตโนมัติเครื่องมือฉีด SQL, การพัฒนาในหลาม, ความสามารถในการระบุฐานข้อมูลระยะไกลทั้งดำเนินการฐานข้อมูลลายนิ้วมือที่ใช้งานและอื่น ๆ อีกมากมาย
จุดมุ่งหมาย sqlmap คือการใช้เครื่องมือ mapper ฐานข้อมูลการทำงานอย่างเต็มที่ซึ่งจะมีข้อได้เปรียบของโปรแกรมเว็บข้อบกพร่องการรักษาความปลอดภัยการเขียนโปรแกรมที่นำไปสู่ช่องโหว่ฉีด SQL
คุณสมบัติ .
- การทดสอบความมั่นคง URL ระยะไกลบนพื้นฐานของกัญชาหน้าเว็บหรือการแข่งขันสตริง;
- บัตรประจำตัวของพารามิเตอร์ URL แบบไดนามิก;
- ทดสอบตัวเลขสตริง (คำพูดเดียวและคำพูดคู่) ฉีด SQL พารามิเตอร์ URL แบบไดนามิกและความเสี่ยงที่แรกที่มันจะถูกใช้ในการดำเนินการฉีด SQL อนาคต;
- เลือกที่เป็นไปได้ของวิธี HTTP สำหรับการทดสอบและการใช้ประโยชน์จากพารามิเตอร์แบบไดนามิก GET หรือ POST (ค่าเริ่มต้น: GET);
- ลายนิ้วมือของฐานข้อมูลโปรแกรมประยุกต์บนเว็บ back-end ขึ้นอยู่กับคำสั่งเฉพาะการส่งออกที่ระบุลักษณะฐานข้อมูลและแบนเนอร์โลภ;
- ส่วนหัว User-Agent HTTP สุ่มเลือก;
- ส่วนหัว HTTP Cookie ให้ประโยชน์เมื่อโปรแกรมประยุกต์บนเว็บต้องได้รับอนุมัติขึ้นอยู่กับคุกกี้และคุณบัญชี;
- ให้อยู่พร็อกซี HTTP ที่ไม่ระบุชื่อที่จะผ่านโดยการร้องขอไปยัง URL เป้าหมาย;
- พารามิเตอร์บรรทัดคำสั่งอื่น ๆ ที่จะได้รับแบนเนอร์ฐานข้อมูลระบุฐานข้อมูลตารางคอลัมน์ค่าการถ่ายโอนข้อมูลดึงเนื้อหาของแฟ้มโดยพลการและให้การแสดงออก SQL ของตัวเองในการค้นหาฐานข้อมูลระยะไกล;
- ข้อความที่ส่งออกการแก้ปัญหาในการดำเนินการอย่างละเอียดโหมด;
- การตั้งค่า PHP magic_quotes_gpc หลีกเลี่ยงโดยการเข้ารหัสสตริงแบบสอบถามทุกระหว่างราคาเดียวกับ CHAR (หรือคล้ายกัน) ฟังก์ชั่นฐานข้อมูล.
- ทานโครงสร้างไดเรกทอรี;
- splitted lib / common.py: ฟังก์ชันการฉีด inband ตอนนี้
- ย้ายไป lib / union.py;
- ไฟล์เอกสาร. ปรับปรุง
มีอะไรใหม่ ในข่าวประชาสัมพันธ์นี้:
- รุ่นนี้มีการเขียนใหม่ทั้งหมดและมีประสิทธิภาพของเครื่องมือตรวจจับการฉีด SQL ความสามารถในการเชื่อมต่อโดยตรงกับเซิร์ฟเวอร์ฐานข้อมูลสนับสนุนสำหรับเวลาที่ใช้ฉีด SQL ตาบอดและข้อผิดพลาดที่ใช้ฉีด SQL, การสนับสนุนสำหรับสี่ระบบการจัดการฐานข้อมูลใหม่และ. มากขึ้น
มีอะไรใหม่ ในรุ่น 0.6.4:
- เพิ่มประสิทธิภาพที่สำคัญถูกนำมาใช้เพื่อให้ขั้นตอนวิธีการเปรียบเทียบ ทำงานอย่างถูกต้องใน URL ที่ไม่มั่นคงโดยใช้ difflib ลำดับวัตถุ Matcher.
- เพิ่มประสิทธิภาพที่สำคัญคือทำเพื่อสนับสนุนงบนิยามข้อมูล SQL งบการจัดการข้อมูล SQL และอื่น ๆ จากผู้ใช้ในแบบสอบถาม SQL และเปลือก SQL ถ้าคำสั่งซ้อนได้รับการสนับสนุนโดยการประยุกต์ใช้เทคโนโลยีเว็บ.
- ความเร็วเพิ่มขึ้นที่สำคัญได้ทำในลายนิ้วมือขั้นพื้นฐาน DBMS.
มีอะไรใหม่ ในรุ่น 0.6.1:
- bugfix สำคัญที่จะฉีด SQL ตาบอด ขั้นตอนวิธีการที่จะจัดการกับ bisection ข้อยกเว้น.
- กรอบ Metasploit 3 โมดูลเสริมถูกเพิ่มเข้ามาเพื่อให้ทำงานได้ sqlmap.
- ความเป็นไปได้ในการทดสอบสำหรับฉีดและยังอยู่ในงบ LIKE ได้ดำเนินการ.
มีอะไรใหม่ ในรุ่น 0.6:
- Refactor รหัสที่สมบูรณ์และข้อบกพร่องหลายคงที่;
- เพิ่มการสนับสนุน multithreading เพื่อกำหนดจำนวนสูงสุดของการร้องขอ HTTP พร้อมกัน;
- เปลือกดำเนินการ SQL (--sql เปลือก) การทำงานและการแก้ไขแบบสอบถาม SQL (--sql แบบสอบถามที่เรียกว่าก่อนที่อี) เพื่อให้สามารถใช้สิ่งที่คำสั่ง SELECT และได้รับการส่งออกทั้งใน inband และการโจมตีฉีด SQL ตาบอด
- เพิ่มตัวเลือก (--privileges) เพื่อดึงผู้ใช้สิทธิพิเศษ DBMS ก็ยังแจ้งว่ามีผู้ใช้เป็นผู้ดูแลระบบ DBMS;
- เพิ่มการสนับสนุน (-c) ตัวเลือกที่จะอ่านจากไฟล์การกำหนดค่าตัวอย่างของไฟล์ INI ที่ถูกต้องและการสนับสนุน sqlmap.conf (--save) เพื่อบันทึกตัวเลือกบรรทัดคำสั่งในแฟ้มการกำหนดค่า;
- สร้างฟังก์ชั่นที่ปรับปรุงทั้ง sqlmap ให้เป็นรุ่นใหม่ล่าสุดที่มีความเสถียรโดยใช้ sqlmap มีตัวเลือก --update;
- สร้าง sqlmap .deb (เดอูบุนตู, ฯลฯ ) และ .rpm (Fedora ฯลฯ ) แพคเกจติดตั้งไบนารี;
- สร้าง sqlmap .exe (Windows) ปฏิบัติการแบบพกพา;
- บันทึกข้อมูลจำนวนมากขึ้นที่จะไฟล์เซสชั่นที่มีประโยชน์เมื่อกลับมาฉีดบนเป้าหมายเดียวกันกับเวลาที่ไม่ได้อยู่บนหลวมระบุฉีดสาขายูเนี่ยนและ DBMS สิ้นกลับสองครั้งหรือมากกว่าครั้ง;
- ปรับปรุงการตรวจสอบโดยอัตโนมัติสำหรับวงเล็บเมื่อการทดสอบและการปลอมแบบสอบถาม SQL เวกเตอร์;
- ตอนนี้จะตรวจสอบฉีด SQL ในทุก GET / POST / พารามิเตอร์ Cookie แล้วมันช่วยให้ผู้ใช้เลือกพารามิเตอร์ที่จะดำเนินการฉีดในกรณีที่มากกว่าหนึ่งคือฉีด;
- การสนับสนุนการดำเนินการสำหรับการร้องขอ HTTPS ผ่าน HTTP (S) พร็อกซี่;
- เพิ่มการตรวจสอบในการจัดการกับคำสั่งเป็นโมฆะหรือไม่สามารถส่งออก;
- เอนโทรปีเพิ่มเติม (randomStr () และ randomInt () ฟังก์ชั่นใน lib / core / common.py) ใน inband ฉีด SQL แบบสอบถามและการตัดแบ่งในการตรวจสอบสภาพและ;
- ไฟล์ XML ปรับปรุงโครงสร้าง;
- การดำเนินการเป็นไปได้ที่จะเปลี่ยนส่วนหัว HTTP Referer;
- เพิ่มการสนับสนุนเพื่อดำเนินการต่อจากแฟ้มเซสชั่นเมื่อทำงานด้วย inband โจมตีฉีด SQL;
- เพิ่มตัวเลือก (--os เปลือก) ในการดำเนินการระบบปฏิบัติการคำสั่งถ้า DBMS back-end เป็น MySQL, เว็บเซิร์ฟเวอร์ที่มีเครื่องยนต์ที่ใช้งาน PHP และใบอนุญาตเขียนเข้าถึงในไดเรกทอรีรากเอกสารภายใน;
- เพิ่มการตรวจสอบเพื่อให้มั่นใจว่าสตริงให้เพื่อให้ตรงกับ (--string) อยู่ในเนื้อหาของหน้า;
- คำสั่งต่างๆถาวรในไฟล์ XML;
- เพิ่มขอบเขต จำกัด ตามคำสั่งและคำสั่งที่จะ COUNT ไฟล์ XML และปรับห้องสมุดที่จะแยกมัน;
- รหัสผ่านคงเรียกฟังก์ชั่นส่วนใหญ่เป็นของ Microsoft SQL Server และการตรวจสอบการทำงานของ hashes รหัสผ่านแยก;
- ข้อผิดพลาดที่สำคัญได้รับการแก้ไขเพื่อหลีกเลี่ยงการ tracebacks เมื่อพารามิเตอร์ทดสอบ (s) เป็นแบบไดนามิก แต่ไม่ฉีด;
- ระบบเข้าสู่ระบบที่เพิ่มขึ้น: เพิ่มอีกสามระดับมากขึ้นของฟุ่มเฟื่อยที่จะแสดงยัง HTTP ที่ส่งและรับการจราจร;
- การเพิ่มประสิทธิภาพในการจัดการการตั้งค่าคุกกี้จาก URL เป้าหมายโดยอัตโนมัติและสร้างใหม่เซสชันเมื่อมันหมดอายุ;
- เพิ่มการสนับสนุนการฉีดยังพารามิเตอร์คุกกี้ชุด;
- ดำเนินการเสร็จสิ้น TAB และประวัติคำสั่งทั้ง --sql เปลือกและ --os เปลือก;
- เปลี่ยนชื่อบางตัวเลือกบรรทัดคำสั่ง;
- เพิ่มห้องสมุดแปลง;
- คีรหัสที่เพิ่มเข้ามาและการแจ้งเตือนสำหรับการพัฒนาในอนาคต;
- ความเห็น Copyright เพิ่มและทรัพย์สิน Id $ $ svn ทุกไฟล์หลาม;
- การปรับปรุงรูปแบบบรรทัดคำสั่งและช่วยให้ข้อความ;
- การปรับปรุงบาง docstrings;
- ไฟล์เอกสาร. ปรับปรุง
ความคิดเห็นที่ไม่พบ