sqlmap

Screenshot Software:
sqlmap
Mga detalye ng Software:
Bersyon: 0.9
I-upload ang petsa: 11 May 15
Nag-develop: Bernardo Damele
Lisensya: Libre
Katanyagan: 507

Rating: 2.7/5 (Total Votes: 3)

sqlmap ay isang awtomatikong bulag SQL iniksyon tool, na binuo sa python, kaya magbilang buong malayuang database, magsagawa ng isang aktibong database fingerprint at marami pa.
Ang layunin sqlmap ay upang ipatupad ang isang fully functional database mapper tool na kumukuha ng mga pakinabang ng mga web application flaws programming seguridad na humantong sa SQL iniksyon kahinaan

Features .

  • Pagsubok ng remote url katatagan, batay sa hash page o string tumugma;
  • Pagkakakilanlan ng url dynamic na parameter;
  • Test numeric, string (single quote at double quotes) SQL iniksyon sa lahat ng url dynamic na parameter at sa unang masugatan ito ay gagamitin upang maisagawa ang hinaharap SQL injections;
  • Posibleng pagpipilian ng HTTP paraan para sa pagsubok at mapagsamantalang mga dynamic na parameter, GET o POST (default: GET);
  • Fingerprint ng database web application back-end na batay sa mga tiyak na tanong output na makilala katangian database at banner daklot;
  • Random HTTP selection header User-Agent;
  • HTTP Cookie header na ibinigay, kapaki-pakinabang kapag nangangailangan web application authorization batay sa cookies at sa iyo ng isang account;
  • Magbigay ng isang anonymous HTTP proxy address sa pumasa sa pamamagitan ng kahilingan sa mga target na url;
  • Iba pang mga command line parameter upang makakuha ng database banner, magbilang ng database, mga talahanayan, mga haligi, mga halaga ng basura, kunin ang isang arbitrary file na nilalaman at magbigay ng sariling SQL expression sa query remote database;
  • Debug output mensahe sa maligoy mode pagpapatupad;
  • pagtatakda magic_quotes_gpc iwas sa pamamagitan ng pag-encode ng bawat string ng query, sa pagitan ng nag-iisang panipi, na may mga char (o katulad) function database PHP.
  • Sinuri ang direktoryo ng puno istraktura;
  • splitted lib / common.py: inband iniksyon andar ngayon
  • inilipat sa paghahanda / union.py;
  • Na-update babasahin file.

Ano ang bago sa release na ito:

  • Nagtatampok Ang bersyon na ito ng isang ganap na muling pagsusulat at malakas SQL iniksyon detection engine , ang kakayahan upang ikonekta ang direkta sa isang database server, suporta para sa oras-based na bulag SQL iniksyon at batay error-SQL iniksyon, suporta para sa apat na bagong database management system, at higit pa.

Ano ang bago sa bersyon 0.6.4:

  • Ang isang malaking pagpapabuti ay ipinatupad upang gumawa ng mga paghahambing algorithm gumana ng maayos sa mga URL na hindi matatag sa pamamagitan ng paggamit ng mga difflib Sequence Matcher object.
  • Ang isang malaking pagpapabuti ay ginawa upang suportahan ang mga kahulugan SQL data statements, pagmamanipula ng mga pahayag SQL data, at iba pa mula sa mga user sa SQL query at SQL shell kung isinalansan queries ay suportado ng mga teknolohiya ng web application.
  • Ang isang malaking pagtaas sa bilis ay ginawa sa DBMS basic fingerprint.

Ano ang bago sa bersyon 0.6.1:

  • Ang isang malaking bugfix ay ginawa upang ang mga bulag SQL iniksyon pagbibyak algorithm upang mahawakan ang isang exception.
  • Ang isang Metasploit Framework 3 katulong module ay naidagdag na tumakbo sqlmap.
  • Ang posibilidad na subukan ang para sa at mag-iniksyon din sa LIKE statements ay ipinatupad.

Ano ang bago sa bersyon 0.6:

  • Kumpletuhin code refactor at maraming bugs nakatakda;
  • Added multithreading suporta upang i-set ang pinakamataas na bilang ng mga kasabay na mga kahilingan ng HTTP;
  • Ipinatupad SQL shell (--sql-shell) functionality at fixed SQL query (--sql-query, bago tinawag-e) upang ma-tumakbo kahit anong PUMILI pahayag at makakuha ng output nito sa parehong inband at bulag SQL iniksyon atake
  • Naidagdag isang opsyon (--privileges) upang makuha ang mga pribilehiyo DBMS gumagamit, ito rin Inaabisuhan kung ang gumagamit ay isang DBMS administrator;
  • Added support (c) upang basahin ang pagpipilian mula configuration file, ang isang halimbawa ng valid INI file ay sqlmap.conf at suporta (--save) upang i-save ang mga pagpipilian sa command line sa isang configuration file;
  • Nilikha ng isang function na-update sa buong sqlmap sa pinakabagong matatag na bersyon na magagamit sa pamamagitan ng pagpapatakbo sqlmap may --update opsyon;
  • Nilikha sqlmap .deb (Debian, Ubuntu, atbp) at RPM (Fedora, atbp) binary install pakete;
  • Nilikha sqlmap .exe (Windows) portable executable;
  • I-save ang isang pulutong ng mga karagdagang impormasyon sa session file, kapaki-pakinabang kapag ipagpatuloy iniksyon sa parehong target na hindi maluwag na oras sa pagkilala ng iniksyon, Union patlang at back-end DBMS dalawang beses o higit pang beses;
  • Pinahusay na awtomatikong pag-check para sa mga panaklong kapag pagsubok at pagbubuo query SQL vector;
  • Ngayon ito tseke para sa SQL iniksyon sa lahat ng GET / POST / parameters Cookie pagkatapos ito ay nagbibigay-daan sa user piliin kung aling mga parameter upang maisagawa ang mga pang-iniksyon sa sa mga kaso na ang higit sa isa ay injectable;
  • Ipinatupad ng suporta para sa mga kahilingan ng HTTPS sa paglipas ng HTTP (S) proxy;
  • Nagdagdag ng check upang mahawakan null o hindi na magagamit query output;
  • More entropy (randomStr () at randomInt () function sa lib / core / common.py) sa inband SQL iniksyon concatenated query at sa AND condition tseke;
  • Pinahusay na mga file ng XML istraktura;
  • Ipinatupad ang posibilidad na baguhin ang mga header ng HTTP Referer;
  • Added suporta upang ipagpatuloy mula session file din kapag tumatakbo sa inband SQL iniksyon atake;
  • Naidagdag isang opsyon (--os-shell) upang magsagawa ng operating system na command kung ang back-end DBMS ay MySQL, ang web server ay aktibo ang PHP engine at permit magsulat ng access sa isang direktoryo sa loob ng root dokumento;
  • Nagdagdag ng check upang masiguro na ang ibinigay na string upang tumugma sa (--string) ay nasa loob ng nilalaman ng pahina;
  • Mga Fixed iba't ibang mga query sa XML file;
  • Added LIMIT, MAAYOS NG at COUNT query sa XML file at iniangkop sa mga aklatan upang i-parse ito;
  • Mga Fixed password kinukuha function, pangunahin para sa Microsoft SQL Server at susuriin ang mga hash password sa pag-parse ng function;
  • Major bug naayos upang maiwasan tracebacks kapag ang testable (s) na parameter ay dynamic na, ngunit hindi injectable;
  • Pinahusay sistema logging: nagdagdag ng tatlong karagdagang antas ng kaliguyan upang ipakita HTTP din ipinadala at natanggap na trapiko;
  • Enhancement upang mahawakan Set-Cookie mula target url at awtomatikong muling maitaguyod ang Session kapag ito ay mamamatay;
  • Added suporta upang mag-iniksyon din sa Set-Cookie parameter;
  • Ipinatupad TAB pagkumpleto at command history sa parehong --sql-shell at --os-shell;
  • Pinalitan ng pangalan ang ilang mga opsyon ng command line;
  • Nagdagdag ng conversion library;
  • Added code schema at mga paalala para sa hinaharap developments;
  • Added Copyright puna at $ Id $ svn ari-arian sa lahat ng Python file;
  • Na-update ang command line layout at makatulong sa mga mensahe;
  • Na-update ilang docstrings;
  • Na-update babasahin file.

Katulad na software

nuBuilder
nuBuilder

11 May 15

MyJSQLView
MyJSQLView

20 Feb 15

sql++
sql++

2 Jun 15

Iba pang mga software developer ng Bernardo Damele

sqlmap
sqlmap

5 Jun 15

Mga komento sa sqlmap

Mga Komento hindi natagpuan
Magdagdag ng komento
I-sa mga imahe!