SQLiDetector:一款功能强大的SQL注入漏洞检测工具

最新推荐文章于 2024-05-27 10:01:04 发布
最新推荐文章于 2024-05-27 10:01:04 发布
阅读量1.9k 收藏 10
点赞数
分类专栏: 产品经理 文章标签: 产品经理 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010291330/article/details/129773109
版权

关于SQLiDetector

SQLiDetector是一款功能强大的SQL注入漏洞检测工具,该工具支持BurpBouty配置文件,可以帮助广大研究人员通过发送多个请求(包含14种Payload)并检查不同数据库的152个正则表达式模式来检测基于错误的SQL注入漏洞。

功能介绍

该工具的主要目标是帮助研究人员通过使用不同的Payload来扫描基于错误的SQL注入漏洞,例如:

'123

''123

`123

")123

"))123

`)123

`))123

'))123

')123"123

[]123

""123

'"123

"'123

\123

并且支持针对不同数据库的152中错误正则表达式模式。

工具运行流程

1、运行子域名搜索工具;

2、将所有收集到的子域名传递给httpx或httprobe来收集活动子域;

3、使用你的链接和URL工具获取所有的waybackurl,如waybackurl、gau、gauplus等;

4、使用URO工具对其进行过滤并降低噪声;

5、获取仅包含参数的所有链接,可以使用grep或gf工具;

6、将最终的URL结果文件传递给SQLiDetector并进行测试;

最终的URL结果文件内容类似如下:

https://aykalam.com?x=test&y=fortest

http://test.com?parameter=ayhaga

工具运行机制

该工具与其他类似SQL注入检测工具的区别在于,如果我们拿到了一个类似下列形式的链接:

https://example.com?file=aykalam&username=eslam3kl

即拥有了两个参数,那么该工具将会创建两个可能存在漏洞的URL地址。

1、下列形式的地址适用于每一个Payload:

https://example.com?file=123'&username=eslam3kl

https://example.com?file=aykalam&username=123'

2、工具将会对每一个URL链接发送一个请求,并使用正则表达式检测是否匹配其中某个模式;

3、针对任何包含漏洞的链接地址,工具将会在单独的文件中进行过程存储;

工具安装和使用

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/eslam3kl/SQLiDetector.git

然后运行下列命令安装工具所需的依赖组件:

~/eslam3kl/SQLiDetector# pip3 install -r requirements.txt

接下来就可以运行该工具了:

# cat urls.txt

http://testphp.vulnweb.com/artists.php?artist=1

# python3 sqlidetector.py -h

usage: sqlidetector.py [-h] -f FILE [-w WORKERS] [-p PROXY] [-t TIMEOUT] [-o OUTPUT]

A simple tool to detect SQL errors

optional arguments:

-h, --help show this help message and exit]

-f FILE, --file FILE [File of the urls]

-w WORKERS, --workers [WORKERS Number of threads]

-p PROXY, --proxy [PROXY Proxy host]

-t TIMEOUT, --timeout [TIMEOUT Connection timeout]

-o OUTPUT, --output [OUTPUT [Output file]

# python3 sqlidetector.py -f urls.txt -w 50 -o output.txt -t 10

BurpBounty模块

我们还创建了一个BurpBounty配置文件,它会使用相同Payload并在不同的位置注入,例如:参数名、参数值、Header和路径。

工具运行结果

项目地址

SQLiDetector:【GitHub传送门

参考资料

https://github.com/sqlmapproject/sqlmap/blob/master/data/xml/errors.xml
产品大道
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
渗透测试 ( 6 ) --- SQL 注入神器 sqlmap
墨鱼菜鸡
07-11 3008
sqlmap 官网:http://sqlmap.org/ sqlmap文档地址:https://github.com/sqlmapproject/sqlmap/wiki/Usage sqlmap 使用 思维导图:http://download.csdn.net/detail/freeking101/9887831 黑帽与白帽都喜爱的十大SQL注入工具:...
SQLiDetector: 智能检测SQL注入的安全利器
gitblog_00054的博客
04-16 388
SQLiDetector: 智能检测SQL注入的安全利器 项目地址:https://gitcode.com/eslam3kl/SQLiDetector SQLiDetector 是一个开源的工具,专注于检测Web应用程序中的SQL注入漏洞。这个项目利用先进的文本处理和机器学习算法,帮助开发者识别并预防可能被黑客利用的脆弱点,确保你的应用程序免受恶意攻击。 技术分析 SQLiDetector的核心是...
五大著名的免费SQL注入漏洞扫描工具
weixin_34408624的博客
09-12 2773
【51CTO.com 独家特稿】大量的现代企业采用Web应用程序与其客户无缝地连接到一起,但由于不正确的编码,造成了许多安全问题。Web应用程序中的漏洞可使***获取对敏感信息(如个人数据、登录信息等)的直接访问。 Web应用程序准许访问者提交数据,并可通过互联网从数据库中检索数据。而数据库是多数Web应用程序的心脏。数据库维持着Web应用程序将特定内容交给访问者的数据,W...
10 个 SQL 注入工具(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
05-09 2524
其主要的目标是在存在着漏洞的数据库服务器上提供一个远程的外壳,甚至在一个有着严格的防范措施的环境中也能如此。Havij不仅能够自动挖掘可利用的SQL 查询,还能够识别后台数据库类型、检索数据的用户名和密码hash、转储表和列、从数据库中提取数据,甚至访问底层文件系统和执行系统命令,当然前提是有 一个可利用的SQL注入漏洞。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
探索Web漏洞的利器:One-Liner Collections
gitblog_00018的博客
05-27 316
探索Web漏洞的利器:One-Liner Collections 项目地址:https://gitcode.com/thecybertix/One-Liner-Collections 在这个数字化时代,网络安全成为了我们不能忽视的重要议题。One-Liner Collections是一个精心策划的GitHub开源项目,它汇聚了一系列简洁高效的命令行工具,旨在帮助安全研究人员快速检测和识别各种Web...
10个SQL注入工具
paoling2010的专栏
09-14 2265
众所周知,SQL注入攻击是最为常见的Web应用程序攻击技术。同时SQL注入攻击所带来的安全破坏也是不可弥补的。以下罗列的10款SQL工具可帮助管理员及时检测存在的漏洞。 BSQL Hacker BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出注入。 BSQL Ha
MySQL explain SQL分析工具详解与最佳实践
kerwin的博客
09-28 7075
MySQL explain SQL分析工具详解与最佳实践
动手撸一个SQL规范检查工具
顺仔的小窝
04-02 3151
背景近几年公司人员规模快速增长,超过半数开发人员均为近两年入职的新员工,开发技能与经验欠缺,之前踩坑的经验也未能完全了解,出现了几起因慢SQL而引发的生产性能问题。为了更好地指导产品SQL...
sqlmap工具基本使用(检测sql注入
m0_37570494的博客
01-25 6200
sqlmap的用户手册: sqlmap是python2进行运行的,如果要直接使用,需要把sqlmap设置到环境变量中: sqlmap主要用于sql注入方面的异常检测 Mysql数据库 1、先检测是否可以注入,先判断是否可以正常注入: sqlmap -u url -v 3 里面有个注意的点url后面必须是可注入的参数?id=之类的,否则url检测会有问题 对于某些今天url可以在/a/b*.html尝试加入*号来进行此路径内的检测 2、爆库 sqlmap.py -u http://...
SqlChecker:智能SQL审查工具,提升数据库操作安全性与效率
gitblog_00083的博客
04-24 536
SqlChecker:智能SQL审查工具,提升数据库操作安全性与效率 项目地址:https://gitcode.com/lufeirider/SqlChecker SqlChecker 是一个开源的项目,旨在帮助开发者和DBA自动化检查SQL语句的安全性、合规性和性能,从而避免潜在的数据泄露风险,并优化数据库性能。 项目简介 SqlChecker 是一款基于Java编写的工具,它可以解析并分析SQ...
强大的sql注入检测工具 [附帮助手册]
01-20
一款SQL注入测试工具,帮助您测试自己的网站。 补充: 有些软件可能会报毒,怕的话可以通过虚拟机测试
sql查看工具
12-16
一款解压及可用的数据库查看工具,很方便。运行pc上。还可以输入查询语句。简单方便实用
SQL注入漏洞扫描---sqlmap
嘿嘿嘿
05-03 2474
数据库--数据表---字段---字段内容一站式识别
sql注入检测工具类_TPscan一键ThinkPHP漏洞检测工具
weixin_34378978的博客
01-27 2537
1.简要描述这个工具写完有一段时间了,看网上目前还没有一个thinkphp的漏洞集成检测工具,所以打算开源出来。2.代码结构插件化思想,所有的检测插件都在plugins目录里,TPscan.py主文件负责集中调度。插件目录:ThinkPHP 用户模块checkcode SQL注入漏洞ThinkPHP 5.0.23远程代码执行ThinkPHP 5.0.23 Debug模式远程代码执行Thi...
mysql语法检查工具_sql语法分析器(sql语法分析工具)
weixin_35600779的博客
01-19 6857
SQL (结构化查询语言)是用于执行查询的语法。但是 SQL 语言也包含用于更新、插入和删除记录的语法。一个自动整理SQL文格式的工具,很好用的,适合各语言的开发人员。并且适应于sql语法分析,SQL 的数据定义语言 (DDL) 部分使我们有能力创建或删除表格。我们也可以定义索引(键),规定表之间的链接,以及施加表间的约束。需要验证SQL语法的准确性,比如输入了错误的语法,她能够自动提示出来.我...
SQL注入过滤工具类-Java版
分享·收获
04-23 2168
import java.util.HashMap; import java.util.Map; import java.util.regex.Matcher; import java.util.regex.Pattern; import org.apache.commons.lang3.StringUtils; import org.slf4j.Logger; import org.slf4j...
3 款 SQL INJECTION 攻击检测工具
COMSHARP CMS 专栏
06-25 921
随着 SQL INJECTION 攻击的明显增多,微软近日发布了三个免费工具,帮助网站管理员和检测存在的风险并对可能的攻击进行拦截。Scrawlr 下载地址:https://download.spidynamics.com/Products/scrawlr/这个微软和 HP合作开发的工具,会在网站中爬行,对所有网页的查询字符串进行分析并发现其中的 SQL INJECTION 风险。Sc
SQL工具-压力测试工具
weixin_30565199的博客
05-11 815
SQL工具-压力测试工具 SQLIOSim IOMeter Prime95 posted on 2019-05-11 11:52 易哲 阅读(...) 评论(...) 编辑 收藏 markdown_highlight();var allowComments=tr...
sql注入漏洞扫描工具
最新发布
07-01
SQL注入漏洞是一种常见的网络安全威胁,攻击者通过构造恶意SQL查询来获取、修改或删除数据库中的敏感信息。为有效检测和管理此类漏洞,许多安全工具被开发出来专门用于SQL注入漏洞扫描。这些工具可以帮助你自动化检测Web应用是否存在这种安全隐患。以下是一些常用的SQL注入漏洞扫描工具: 1. **Nessus**: 这是一款功能强大的网络漏洞扫描器,可以检测SQL注入漏洞,并提供修复建议。 2. **OWASP ZAP (Zed Attack Proxy)**: 开源的安全测试工具,内置了SQL注入检测功能,适合快速初步扫描。 3. **Acunetix Web Vulnerability Scanner**: 专为Web应用程序设计,能够识别多种类型的漏洞,包括SQL注入。 4. **Burp Suite**: 一款全面的Web应用安全测试工具,包括SQL注入测试在内的多种功能。 5. **SqlMap**: 虽然SqlMap主要是用于手动渗透测试,但它的自动化脚本也能辅助扫描工具查找SQL注入漏洞。 6. **Nmap**:虽然Nmap主要用于网络发现,但通过插件如nmap-sqli,可以用来检测SQL注入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

产品大道

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值