我如何testing我的网站SQL注入攻击?
那里有什么自动化工具?
sqlmap:一个SQL注入工具
sqlmap是一个在Python中开发的自动SQL注入工具。 其目标是检测并利用Web应用程序中的SQL注入漏洞。 一旦在目标主机上检测到一个或多个SQL注入,用户可以select各种选项来执行广泛的后端数据库pipe理系统指纹,检索DBMS会话用户和数据库,枚举用户,密码散列,权限,数据库,转储整个或用户特定的DBMS表/列,运行他自己的SQL SELECT语句,读取文件系统上的特定文件等等。
这里有一个,没有链接,因为有很好的理由怀疑它包含恶意软件…
http://www.darknet.org.uk/2008/09/bsql-hacker-automated-sql-injection-framework/ 您还可以find一个脚本kiddy应用程序,并将其瞄准您的网站,他们喜欢使用SQL注入。
但是并非如此,使用防止SQL注入的库不是简单和容易吗?
有几个Firefox的插件: HackBar , SQL注入1.2
安全指南针
我没有真正使用他们的Firefox插件,但其中之一是为了findSQL注入问题。
一个商业自动化工具是来自McAfee的Scan Alert 。 他们每天都在追踪您的网站,并报告任何漏洞 – 不仅仅是SQL注入,还有端口等不应该是服务器上运行的软件的开放或不安全的版本。
那么简单地避免使用允许SQL注入攻击的技术呢?
如果您使用Prepared Statements而不是Dynamic SQL,那么您就是一笔金钱–SQL注入式攻击变得不可能,并且您可以获得更好的启动性能! 切勿在dynamicSQL中使用用户提供的string! 这是确保您的数据库免受注入攻击的唯一方法。 即使是自动化的工具也有盲点 – 它们是由人类创造的……
有用的资源: 防御SQL注入攻击的Oracle教程
WebCruiser – Web漏洞扫描器,不仅是一个networking安全扫描工具,而且还是一个自动SQL注入工具,一个XPath注入工具和一个跨站脚本工具!
findbugs工具使用静态分析来检测Java代码中潜在的SQL注入攻击。 从本质上讲,它将查找使用input参数构造SQL查询而不是用作预准备语句参数的情况。
我们不仅仅是BSQL :)在这里检查他们 –
- 在父上下文中声明Spring Bean与子上下文
- 用于Asp.Net Web Api的JWTauthentication
- 为什么JPasswordField.getPassword()用它的密码创build一个String?
- 如何避免我的ASP.NET应用程序中的SQL注入攻击?
- 为什么printf只有一个参数(没有转换说明符)不推荐使用?
- 使用Active Directory的.NET中的用户组和angular色pipe理
- 我怎样才能保护自己免受压缩炸弹的伤害?
- PreparedStatement IN子句的替代?
- 我怎样才能安全地在自定义的WebAPI HttpMessageHandler中设置用户主体?
