Какие существуют автоматические инструменты?
Как я могу проверить свой веб-сайт на атаки SQL-инъекций?
Ответ 1
sqlmap: инструмент SQL-инъекций
sqlmap - это автоматическая инъекция SQL инструмент, разработанный в Python. Его цель - обнаруживать и использовать SQL уязвимости в Интернете Приложения. После обнаружения одного или больше SQL-инъекций на целевой хост, пользователь может выбрать один из множество вариантов для выполнения обширное управление базами данных отпечаток системы, извлечение СУБД пользователь сеанса и база данных, перечислите пользователи, хэши паролей, привилегии, базы данных, сброс всей или пользовательской конкретные таблицы/столбцы СУБД, запустить его собственный оператор SQL SELECT, читать конкретные файлы в файловой системе и гораздо больше.
Ответ 2
Здесь один, не связанный, поскольку есть веские основания подозревать, что он содержит вредоносное ПО...
http://www.darknet.org.uk/2008/09/bsql-hacker-automated-sql-injection-framework/
Вы также можете найти приложение kiddy script и направить его на свой сайт, им нравится использовать SQL-инъекцию.
Но вместо того, чтобы делать все это, не проще и проще использовать библиотеку, которая предотвращает внедрение SQL?
Ответ 3
Существует несколько плагинов для Firefox: HackBar, SQL Injection 1.2
Ответ 4
Я действительно не использовал их плагин для Firefox, но один из них предназначен для поиска проблем с SQL-инъекциями.
Ответ 5
Коммерческий автоматизированный инструмент "Сканировать оповещение" от McAfee. Они ежедневно размещают ваш сайт и сообщают обо всех уязвимостях, а не только в SQL-инъекциях, а также о таких вещах, как порты, которые не должны быть открытыми или небезопасными версиями программного обеспечения, запущенного на сервере.
Ответ 6
Как насчет того, чтобы просто избежать использования техник, которые позволяют в первую очередь внедрять SQL-инъекции?
Если вы используете Подготовленные заявления вместо Dynamic SQL, вы стали золотыми - инъекции SQL-инъекций становятся невозможными, и вы получаете лучшую производительность для загрузки! Никогда не используйте предоставленную пользователем строку в динамическом SQL! Это единственный способ убедиться, что ваша БД безопасна от инъекционных атак. Даже автоматизированные инструменты имеют слепые пятна - они созданы людьми в конце концов...
Полезный ресурс: Учебник Oracle по защите от атак на SQL-атаки
Ответ 7
WebCruiser - Сканер уязвимостей в Интернете - это не только инструмент сканирования веб-безопасности, но и инструмент автоматического SQL-инъекции, XPath инструмент для инъекций и инструмент межсайтового скриптинга
Ответ 8
Инструмент findbugs имеет определенную поддержку для обнаружения потенциальных атак SQL-инъекций в Java-коде с использованием статического анализа. По существу, он будет искать случаи, когда входные параметры используются для построения SQL-запросов, а не для использования в качестве подготовленных параметров оператора.
Ответ 9
У нас больше, чем просто BSQL:) Проверьте их здесь -