ΑρχικήsecurityTOP free test tools για να εντοπίσετε SQL injection ευπάθειες

TOP free test tools για να εντοπίσετε SQL injection ευπάθειες

Το SQL injection (SQLi) είναι μια από τις πιο συνηθισμένες τεχνικές των online επιθέσεων. Πως μπορούμε να το εντοπίσουμε και πως να προστατευτούμε από αυτό;

Το penetration testing (ή “pentesting” εν συντομία) αποτελείται από προσομοίωση επιθέσεων στο λογισμικό για τον προσδιορισμό των αδυναμιών τους. Είναι χρήσιμο να εντοπίζετε ευπάθειες πριν εντοπιστούν και χρησιμοποιηθούν από εγκληματίες του κυβερνοχώρου.

SQL injection

Τα εργαλεία pentesting – γνωστά και ως εργαλεία ελέγχου διείσδυσης – αυτοματοποιούν και επιταχύνουν τη διαδικασία προσομοίωσης των επιθέσεων και εντοπίζουν τα τρωτά σημεία του λογισμικού. Τούτου δοθέντος, ας δούμε ποια είναι τα καλύτερα test tools για τον εντοπισμό του SQL injection.

OWASP ZAP

Το OWASP Zed Attack (ZAP) proxy είναι ένα από τα πιο δημοφιλή δωρεάν εργαλεία ασφάλειας. Πρόκειται για λογισμικό ανοιχτού κώδικα που σας βοηθά να ανιχνεύσετε ευπάθειες στις web εφαρμογές σας. Έχει πολλά προηγμένα χαρακτηριστικά για να καλύψει τις απαιτήσεις των pentesters.

Συγκεκριμένα:

  1. Περιλαμβάνει μια αυτόματη επιλογή σάρωσης για automatic launch testing σε έναν συγκεκριμένο ιστότοπο και ελέγχει όλους τους τύπους ευπαθειών ασφαλείας.
  2. Διαθέτει headless mode για την ανάπτυξη automation software.
  3. Διαθέτει API χαρακτηριστικά για τον έλεγχο σχεδόν όλων των χαρακτηριστικών του.

w3af

Το w3af είναι μια πλατφόρμα δοκιμών ασφαλείας σχεδιασμένη για να σας βοηθήσει να εξασφαλίσετε τις εφαρμογές σας στο διαδίκτυο. Είναι ένας δωρεάν ανοιχτού κώδικα tester ευπαθειών που σας βοηθά να ανιχνεύσετε και να εκμεταλλευτείτε τις ευπάθειες ασφαλείας σε web εφαρμογές. Διαθέτει την ικανότητά να ανιχνεύει περισσότερες από 200 ευπάθειες, συμπεριλαμβανομένου του SQL injection.

  1. Υποστηρίζει αυτοματοποίηση με το δικό του scripts set (αρχεία κειμένου με τις εντολές τους σε κάθε γραμμή).
  2. Υποστηρίζει διάφορους τύπους logging- κονσόλα, αρχεία κειμένου ακόμη και email reports – για να ενισχύσει την αξιοπιστία των αποτελεσμάτων των automation tools.
  3. Υποστηρίζει fuzzing engine που μπορεί να εισάγει ωφέλιμα φορτία σε σχεδόν οποιοδήποτε μέρος των HTTP requests.
  4. Υποστηρίζει την επέκταση του εργαλείου μέσω email reports (Python scripts).

SQL injection

SQLMAP

Στο χώρο του ethical hacking, το SQLMAP αποτελεί το κατεξοχήν εργαλείο για εύρεση ευπαθειών που βασίζονται στο SQL injection. Αποτελεί μια open source λύση, γραμμένη σε γλώσσα python η οποία αυτοματοποιεί τη διαδικασία εύρεσης και εκμετάλλευσης ευπαθειών SQL με τελικό σκοπό τoν πλήρη έλεγχο της βάσης δεδομένων και του server στον οποίο βρίσκεται.

  1. Υποστηρίζει τις πιο κοινές βάσεις δεδομένων, όπως IBM DB2, Microsoft Access, Microsoft SQL Server, MySQL, Oracle, PostgreSQL και SQLite.
  2. Υποστηρίζει όλες τις κύριες injection τεχνικές, συγκεκριμένα το Classic SQLi, συμπεριλαμβανομένων των υποτύπων του (SQLi βασισμένο σε errors and SQLi βασισμένο σε Union), Blind SQLi, συμπεριλαμβανομένων των υποτύπων του (Blind βασισμένο σε boolean και time-based SQLi), out-of-band SQLi και SQL injection βασισμένο σε stacked queries.
  3. Υποστηρίζει την αναγνώριση των password hash τύπων και την επίλυσή τους.
  4. Υποστηρίζει την αναζήτηση στο εσωτερικό και τον καθαρισμό των tables σύμφωνα με τις ρυθμίσεις σας.
  5. Υποστηρίζει την εκτέλεση εντολών στο λειτουργικό σύστημα και τη λήψη των standard outputs τους εάν υποστηρίζεται η βάση δεδομένων.

Για περισσότερες πληροφορίες μπορείτε να ανατρέξετε στις αντίστοιχες ιστοσελίδες των open source εργαλείων.

test tools

 

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS