本文比较了几款常用的SQL注入漏洞测试工具,包括Sqlmap、SqliX、JbroFuzz和网站啄木鸟。Sqlmap因其强大的功能和易用性脱颖而出,SqliX在发现漏洞方面表现出色,而JbroFuzz则更适合用于获取SQL注入测试的payload。SqlPowerInjector则被评价为不太好用。文章还提供了这些工具的下载链接和基本使用方法。
SQL注入漏洞测试工具比较
Sql注入测试一定要使用工具。原因一:工作效率;原因二:人工很难构造出覆盖面广的盲注入的sql语句。例如当一个查询的where字句包含了多个参数,or and的关系比较多时,简单的 or 1=1, and 1=2是很难发现注入点的。
Sql注入的工具很多(Top 15 free SQL Injection Scanners),我最近使用的有Sqlmap,SqliX,JbroFuzz,Sql Power Injector, 网站啄木鸟.现将他们的使用方法和比较结果贴于此:
Sqlmap是python开发的SQL注入漏洞测试工具。没有UI界面的命令行工具。虽说是命令行工具,可他的使用比网站啄木鸟,Sql Power injector 容易多了,并且有很详细的帮助文档。从下面2个地址获得相关程序包:
Python下载,推荐下载2.7版本,兼容性好:http://www.python.org/ftp/python/2.7.2/python-2.7.2.msi
SqlMap下载:http://sqlmap.sourceforge.net/
SqlMap根目录下Sqlmap.py是主程序,sqlmap.conf是配置文件。Sqlmap的使用有2种方式:
1 在cmd中直接输入命令行。
2 在sqlmap.conf中配置命令行参数,然后在cmd中用sqlmap.py -c sqlmap.conf 发起攻击。
我比较喜欢第二种方式。这里仅列出sqlmap.conf种几个命令。更详细的命令描述参考doc目录下的readme.pdf,
# Target URL.
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
