Get Adobe Flash player
Suche:    
«
»

SQLMap: Automatisierte SQL Injection Tests Datenbank

16.03.2010 |

Leider sind auch Heute noch viele Sicherheitslöcher in Webanwendungen vorhanden.
Die Angriffe werden immer gezielter und ausgefeilter.

Neu wurde ein kleines aber feines Open source Projekt ins Leben gerufen, um Webanwendungen sicherer zu machen.
SQLMap läuft Betriebssystem unabhängig auf der Commandline.

Die ersten und einfachen Tests können schnell getestet werden. Weitergehende Tests über POSTs erfordern ein wenig Aufwand.
Leider ist das Tool noch nicht wirklich effektiv zum testen und es werden viele sicherheitsrelevanten Tests nicht durchgeführt.

Die Injections Tests beinhalten:

%20AND%20931=931
%27%20AND%20%27VWlf%27=%27VWlf
%27%20AND%20%27VWlf%27%20LIKE%20%27VWlf
%22%20AND%20%22VWlf%22=%22VWlf
%22%20AND%20%22VWlf%22%20LIKE%20%22VWlf
%29%20AND%20%287343=7343
%27%29%20AND%20%28%27eeLA%27=%27eeLA
%27%29%20AND%20%28%27eeLA%27%20LIKE%20%27eeLA
%22%29%20AND%20%28%22eeLA%22=%22eeLA
%22%29%20AND%20%28%22eeLA%22%20LIKE%20%22eeLA
%29%29%20AND%20%28%285995=5995
%27%29%29%20AND%20%28%28%27Xsbu%27=%27Xsbu
%27%29%29%20AND%20%28%28%27Xsbu%27%20LIKE%20%27Xsbu
%22%29%29%20AND%20%28%28%22Xsbu%22=%22Xsbu
%22%29%29%20AND%20%28%28%22Xsbu%22%20LIKE%20%22Xsbu
%29%29%29%20AND%20%28%28%289345=9345
%27%29%29%29%20AND%20%28%28%28%27uMow%27=%27uMow
%27%29%29%29%20AND%20%28%28%28%27uMow%27%20LIKE%20%27uMow
%22%29%29%29%20AND%20%28%28%28%22uMow%22=%22uMow
%22%29%29%29%20AND%20%28%28%28%22uMow%22%20LIKE%20%22uMow

was folgendem Code entspricht:

 AND 931=931
‘ AND ’VWlf’='VWlf
‘ AND ’VWlf’ LIKE ’VWlf
" AND "VWlf"="VWlf
" AND "VWlf" LIKE "VWlf
) AND (7343=7343
‘) AND (‘eeLA’='eeLA
‘) AND (‘eeLA’ LIKE ’eeLA
") AND ("eeLA"="eeLA
") AND ("eeLA" LIKE "eeLA
)) AND ((5995=5995
‘)) AND ((‘Xsbu’='Xsbu
‘)) AND ((‘Xsbu’ LIKE ’Xsbu
")) AND (("Xsbu"="Xsbu
")) AND (("Xsbu" LIKE "Xsbu
))) AND (((9345=9345
‘))) AND (((‘uMow’='uMow
‘))) AND (((‘uMow’ LIKE ’uMow
"))) AND ((("uMow"="uMow
"))) AND ((("uMow" LIKE "uMow

Wenn das Tool jedoch erfolgreich eine Lücke gefunden hat, dann bietet es eine grosse Anzahl von Möglichkeiten automatisierte Attacken auf die Datenbank auszuführen.
Dabei liefert dann das Programm vielerlei Daten wie DB Struktur, Password Hashes, Backups anlegen der fremden DB, Files auf das System zu schreiben/ändern, privilegierte Systembefehle ausführen und weiteres…

Da dieses Tool erst im Aufbau ist und noch Beta ist, kann man sicher noch einiges erwarten.

SQLMap Downloads:
SQLMap 0.8 Windows
SQLMap 0.8 Debian
Andere Downloads über die Herstellerseite:
sqlmap.sourceforge.net

Benutzer, die diesen Beitrag fanden, suchten nach:

  • sql injection tests
  • sql injection test
  • sqlmap on windows 7
  • sqlmap anleitung
  • sqlmap
Veröffentlicht in Internet, Programme | Schlagworte: , ,
Weitere interessante Beiträge:

Kommentieren

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

«
»
Stefan
Kontaktdaten		IT Blögg?
Ein männlicher IT Nerd durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf.
Stichwörter Wolke
Ist Ihre Webseite aktuell?
web updates kmu (wuk.ch) hat sich als Web Dienstleister auf folgende Bereiche spezialisiert:
Falls Sie Fragen zu den Produkten haben, stehen wir gerne zu Verfügung.
Impressum & Disclaimer | Dieser Blog wird von Web Updates KMU gehostet.
Copyright © 2009 IT Blögg. All Rights Reserved.