55
क्या स्वचालित उपकरण हैं?एसक्यूएल इंजेक्शन हमलों के लिए मैं अपनी वेबसाइट का परीक्षण कैसे कर सकता हूं?
A
उत्तर
14
sqlmap: एक एसक्यूएल इंजेक्शन उपकरण
sqlmap एक स्वत: एसक्यूएल इंजेक्शन उपकरण अजगर में विकसित है। वेब अनुप्रयोगों पर एसक्यूएल इंजेक्शन भेद्यता का पता लगाने और उसका लाभ लेने के लिए इसका लक्ष्य है। एक बार जब यह लक्ष्य मेजबान पर एक या एक से अधिक एसक्यूएल इंजेक्शन का पता लगाता है, तो उपयोगकर्ता एक व्यापक बैक-एंड डेटाबेस प्रबंधन प्रणाली फिंगरप्रिंट प्रदर्शन करने के लिए विकल्प की एक किस्म के बीच चयन कर सकते हैं, डीबीएमएस सत्र उपयोगकर्ता और डेटाबेस को पुनः प्राप्त, उपयोगकर्ताओं की गणना , पासवर्ड हैश, विशेषाधिकार, डेटाबेस, संपूर्ण या उपयोगकर्ता के विशिष्ट डीबीएमएस टेबल/कॉलम डंप करें, अपने स्वयं SQL चयन कथन चलाएं, फ़ाइल सिस्टम पर विशिष्ट फ़ाइलों को पढ़ें और और भी बहुत कुछ।
13
यहाँ एक है, जुड़ा हुआ नहीं के बाद से वहाँ पर शक करने के लिए यह मैलवेयर है अच्छा कारण है ...
http://www.darknet.org.uk/2008/09/bsql-hacker-automated-sql-injection-framework/
तुम भी एक स्क्रिप्ट बच्चा ऐप्लिकेशन ढूंढ सकते हैं और अपनी साइट पर यह लक्ष्य कर सकते हैं, वे एसक्यूएल इंजेक्शन का उपयोग करना पसंद करते हैं।
लेकिन ऐसा करने के बजाय, क्या यह एक लाइब्रेरी का उपयोग करना आसान और आसान नहीं है जो एसक्यूएल इंजेक्शन को रोकता है?
+5
मुझे इसे जांचने के लिए बहुत अच्छी लगती है, भले ही लाइब्रेरी उन्हें रोकने के लिए कहती है। आपको कैसे पता चलेगा कि लाइब्रेरी में कोई बग (या बैकडोर) नहीं है, इसके अलावा पूरी तरह से कोड समीक्षा और परीक्षण भी है? –
+0
@ विंको: क्योंकि एक उचित लाइब्रेरी बस सभी इनपुट पर डेटाबेस लेयर के एस्केप फ़ंक्शन (mysql_real_escape_string) को कॉल करेगी। इस तरह के कार्यों को सुरक्षा के लिए बड़े पैमाने पर जांच की जाती है। –
+0
और आप कैसे जानते हैं कि लाइब्रेरी पहले इसे जांच किए बिना "उचित" है? परावर्तक की एक निश्चित डिग्री स्वस्थ है। –
3
मैकएफी से एक वाणिज्यिक स्वचालित उपकरण Scan Alert है। वे आपकी साइट को प्रतिदिन मकड़ी देते हैं और किसी भी भेद्यता की रिपोर्ट करते हैं - न केवल एसक्यूएल इंजेक्शन, बल्कि बंदरगाहों जैसी चीजें जो सर्वर पर चल रहे सॉफ़्टवेयर के खुले या असुरक्षित संस्करण नहीं होने चाहिए।
+0
एक मृत लिंक की तरह लगता है (यह मुखपृष्ठ पर रीडायरेक्ट करता है)। – kenorb
3
बस उन तकनीकों के उपयोग से परहेज करने के बारे में जो SQL इंजेक्शन को पहले स्थान पर अटैक करने की अनुमति देते हैं?
यदि आप गतिशील एसक्यूएल के बजाय तैयार वक्तव्य का उपयोग करते हैं, तो आप सुनहरे हैं - एसक्यूएल इंजेक्शन हमले असंभव हो जाते हैं, और आपको बूट करने के लिए बेहतर प्रदर्शन मिलता है! गतिशील एसक्यूएल में उपयोगकर्ता द्वारा प्रदत्त स्ट्रिंग का कभी भी उपयोग न करें! यह कुछ होने का एकमात्र तरीका है कि आपका डीबी इंजेक्शन हमलों से सुरक्षित है। यहां तक कि स्वचालित उपकरण ब्लाइंड स्पॉट है - सभी के बाद वे मनुष्य द्वारा बनाई गई हैं ...
उपयोगी संसाधन: Oracle Tutorial on Defending against SQL Injection Attacks
1
findbugs उपकरण जावा कोड में संभावित SQL इंजेक्शन हमले का पता लगाने, स्थैतिक विश्लेषण का उपयोग करने के लिए कुछ समर्थन हासिल है। अनिवार्य रूप से यह उन मामलों की तलाश करेगा जहां इनपुट पैरामीटर का उपयोग तैयार कथन पैरामीटर के रूप में उपयोग किए जाने के बजाय SQL क्वेरी बनाने के लिए किया जाता है।
7
4
मैं वास्तव में इस्तेमाल नहीं किया गया है उनके फ़ायरफ़ॉक्स प्लग में, लेकिन उनमें से एक एसक्यूएल इंजेक्शन समस्याओं को खोजने के लिए है।
+2
https://addons.mozilla.org/en-US/firefox/addon/7597/ फ़ायरफ़ॉक्स प्लगइन का लिंक है। आईएमएचओ, एसक्यूएल इंजेक्शन का परीक्षण करने के लिए यह सबसे आसान टूल है। – Axeva
2
WebCruiser - वेब भेद्यता स्कैनर न केवल एक वेब सुरक्षा स्कैनिंग उपकरण है, बल्कि एक स्वचालित एसक्यूएल इंजेक्शन उपकरण, XPath इंजेक्शन उपकरण, और cross-site scripting उपकरण भी है!
0
हम से अधिक है बस BSQL :) उन्हें बाहर यहाँ देखें -
sqlmap एक शोषण उपकरण है, यह संभव एसक्यूएल इंजेक्शन कमजोरियों के लिए एक वेबसाइट स्कैन नहीं कर सकते। –