个性化阅读
专注于IT技术分析

如何查找SQL注入攻击漏洞?

本文概述

测试你的网站是否受到SQL注入攻击, 并防止其被黑客入侵。

SQLi(SQL注入)是一种古老的技术, 黑客可以执行恶意SQL语句来接管网站。它被认为是高严重性漏洞, Acunetix的最新报告显示, 有23%的扫描目标受到此漏洞的攻击。

如何查找SQL注入攻击漏洞?2

由于许多Web平台(PHP, WordPress, Joomla等)都支持SQL(结构化查询语言)数据库, 因此它可能会针对大量网站。因此, 你知道, 确保你的在线商业网站不受SQLi攻击非常重要, 以下内容将帮助你查找(如果有)。

注意:执行SQL注入会产生较高的网络带宽并发送大量数据。因此, 请确保你是要测试的网站的所有者。

suIP.biz

通过suIP.biz在线检测SQL注入漏洞, 支持MySQL, Oracle, PostgreSQL, Microsoft SQL, IBM DB2, Firebird, Sybase等数据库。

如何查找SQL注入攻击漏洞?4

SQLMap支持它, 因此它将针对所有六种注入技术进行测试。

在线SQL注入测试

Hacker Target的另一个在线工具基于SQLMap来针对HTTP GET请求查找基于绑定和错误的漏洞。

如何查找SQL注入攻击漏洞?6

Vega

Vega是一种开源安全扫描程序软件, 可以安装在Linux, OS X和Windows上。

如何查找SQL注入攻击漏洞?8

Vega用Java编写, 并且基于GUI。

不只是SQLi, 你还可以使用Vega测试许多其他漏洞, 例如:

  • XML / Shell / URL注入
  • 目录清单
  • 远程文件包括
  • XSS
  • 以及更多…

Vega看起来很有前途的免费Web安全扫描程序。

SQLMap的

SQLMap是流行的开源测试工具之一, 用于对关系数据库管理系统执行SQL注入。

如何查找SQL注入攻击漏洞?10

Sqlmap枚举用户, 密码, 哈希, 角色, 数据库, 表, 列, 以及完全转储数据库表的支持。

如果你使用的是Kali Linux, 则无需安装它也可以在其中使用SQLMap。

Pentest-Tools

Pentest-Tools的在线扫描仪使用OWASP ZAP进行了测试。有两个选项-浅(免费)和完整(需要注册)。

如何查找SQL注入攻击漏洞?12

Appspider

Rapid7开发的Appspider是一种动态的应用程序安全测试解决方案, 用于对Web应用程序进行爬网和测试以应对80多种攻击。

如何查找SQL注入攻击漏洞?14

Appspider的独特功能称为漏洞验证程序, 使开发人员可以实时重现该漏洞。

当你纠正了漏洞并希望重新测试以确保风险得到修复后, 这将变得很方便。

Acunetix

Acunetix是一款企业级Web应用程序漏洞扫描程序, 受到全球4000多个品牌的信任。不仅是SQLi扫描, 该工具还可以找到6000多个漏洞。

如何查找SQL注入攻击漏洞?16

每个发现都按潜在的修复方法进行分类, 因此你知道该怎么做才能修复它。此外, 你可以与CI / CD系统和SDLC集成, 因此在将应用程序部署到生产环境之前, 可以识别并解决所有安全风险。

下一步是什么?

以上工具将进行测试, 并让你知道你的网站是否存在SQL注入漏洞。如果你想知道如何保护你的站点免受SQL注入, 那么以下内容将为你提供一个思路。

编码不良的Web应用程序通常负责SQL注入, 因此你必须修复易受攻击的代码。但是, 你可以做的另一件事是在应用程序前面实现WAF(Web应用程序防火墙)。

有两种将WAF与你的应用程序集成的方法。

  • 将WAF集成到Web服务器中–你可以将WAF诸如ModSecurity与Nginx, Apache或WebKnight与IIS一起使用。当你自己托管网站(例如在Cloud / VPS中或专用网站)时, 这将是可能的。但是, 如果你使用共享主机, 则无法在此处安装它。
  • 使用基于云的WAF –可能最简单的添加站点保护的方法是实施网站防火墙。好消息是它适用于任何网站, 而且你可以在不到10分钟的时间内启动它。
赞(0)
未经允许不得转载:srcmini » 如何查找SQL注入攻击漏洞?

评论 抢沙发

评论前必须登录!