sqlmap

sqlmap is 'n outomatiese blind SQL-inspuiting instrument, ontwikkel in python, in staat om te noem hele afgeleë databasis, voer 'n aktiewe databasis vingerafdruk en nog baie meer.
doel sqlmap is om te implementeer 'n ten volle funksionele databasis mapper instrument wat voordele van web aansoek ontwikkeling sekuriteit foute wat lei tot SQL-inspuiting kwesbaarhede neem

Eienskappe :.

• Die toets van die afgeleë url stabiliteit, gebaseer op bladsy hash of string match
• Identifisering van url dinamiese parameters
• Toets numeriese, string (enkel kwotasie en dubbele aanhalingstekens) SQL-inspuiting op al url dinamiese parameters en op die eerste kwesbaar dit sal gebruik word om die toekoms SQL inspuitings verrig;
• Moontlike keuse van HTTP metode vir die toets en die ontginning van dinamiese parameters, KRY of POST (verstek: AOO)
• vingerafdruk van web aansoek databasis back-end gebaseer op spesifieke navrae uitset wat databasis eienskappe en vaandel gryp identifiseer;
• Random HTTP User-Agent kop seleksie;
• HTTP koekie kop voorsien, nuttig wanneer web aansoek vereis magtiging gebaseer op koekies en jy 'n rekening
• Verskaf 'n anonieme HTTP proxy adres verbygaan versoek aan die teiken url
• Ander command line parameters databasis vaandel te kry, opsom databasisse, tabelle, kolomme, dump waardes, 'n arbitrêre lêer inhoud haal en verskaf eie SQL uitdrukking navraag afgeleë databasis
• Debug uitset boodskappe in verbose uitvoering af;
• PHP opstel magic_quotes_gpc ontduiking deur enkodeer elke navraag string, tussen aanhalingstekens, met CHAR (of soortgelyke) databasis funksie.
• Nagegaan die gids boom struktuur;
• gesplitste lib / common.py: inband inspuiting funksies is nou
• verskuif na / union.py lib
• Opdateer dokumentasie lêers.

Wat is nuut in hierdie release:

• Hierdie weergawe het 'n heeltemal herskryf en kragtige SQL-inspuiting opsporing enjin , die vermoë om direk verbind met 'n databasis bediener, ondersteuning vir-time gebaseer blind SQL-inspuiting en fout gebaseer SQL-inspuiting, ondersteuning vir vier nuwe databasisbestuurstelsels, en nog baie meer.

Wat is nuut in weergawe 0.6.4:

• 'n groot verbetering is geïmplementeer om die vergelyking algoritme maak behoorlik werk op URL's wat nie stabiel deur die difflib Volgorde Matcher voorwerp is.
• 'n groot verbetering is gedoen om SQL data definisie state, SQL data manipulasie state, ensovoorts van die gebruiker in SQL navraag en SQL dop te ondersteun as gestapel navrae word ondersteun deur die Web aansoek tegnologie.
• 'n groot toename spoed is gemaak in DBMS basiese vingerafdruk.

Wat is nuut in weergawe 0.6.1:

• 'n groot bugfix is ​​gemaak om die blinde SQL-inspuiting halverings algoritme om 'n uitsondering te hanteer.
• 'n Metasploit Framework 3 hulp module is bygevoeg om sqlmap hardloop.
• Die moontlikheid om te toets vir en spuit ook SOOS state geïmplementeer is.

Wat is nuut in weergawe 0.6:

• Complete kode refactor en baie foute vaste
• Bygevoeg multithreading ondersteuning aan die maksimum aantal gelyktydige HTTP-versoek uiteengesit;
• Geïmplementeer SQL dop (--sql-dop) funksies en vaste SQL navraag (--sql-navraag, voordat genoem -e) in staat wees om alles SELECT verklaring te hardloop en kry sy produksie in beide inband en blind SQL-inspuiting aanval
• Bygevoeg 'n opsie (--privileges) om DBMS gebruikers voorregte haal, is dit ook in kennis indien die gebruiker 'n DBBS administrateur
• Bygevoeg ondersteuning (-c) om opsies uit konfigurasielêer, 'n voorbeeld van 'n geldige INI-lêer te lees is sqlmap.conf en ondersteuning (--save) om command line opsies op 'n konfigurasielêer red;
• Maak 'n funksie wat die hele sqlmap die nuutste stabiele weergawe beskikbaar updates deur die loop sqlmap met --update opsie
• geskep sqlmap Deb (Debian, Ubuntu, ens) en .rpm (Fedora, ens) installasie binêre pakkette;
• geskep sqlmap exe (Windows) draagbare uitvoerbare
• 'Hou 'n baie meer inligting om die sessie lêer, nuttig wanneer die hervatting inspuiting op dieselfde teiken nie los tyd inspuiting, UNION velde en back-end DBMS keer identifisering twee of meer
• Verbeterde outomatiese tjek vir hakies wanneer die toets en bewerk SQL navraag vektor
• Nou is dit tjeks vir SQL-inspuiting op almal kry / pos / Cookie parameters dan kan die gebruiker kies watter parameter om die inspuiting te voer op in die geval dat meer as een is inspuitbare
• Geïmplementeer ondersteuning vir HTTPS versoeke oor HTTP (S) volmag
• Bygevoeg 'n tjek aan NULL of nie beskikbaar navrae uitset hanteer;
• Meer entropie (randomStr () en randomInt () funksies in lib / kern / common.py) in inband SQL-inspuiting aaneen navraag en in en toestand tjeks;
• Verbeterde XML lêers struktuur;
• geïmplementeer om die moontlikheid om die HTTP Referer kop verander;
• Bygevoeg ondersteuning te hervat van sessie lêer ook toe hardloop met inband SQL-inspuiting aanval
• Bygevoeg 'n opsie (--os-dop) om bedryfstelsel voer opdragte indien die back-end DBMS is MySQL, die web bediener het die PHP-enjin aktiewe en permitte skryf toegang op 'n gids in die dokument wortel;
• Bygevoeg 'n tjek om te verseker dat die inligting string aan te pas (--string) is binne die inhoud van die bladsy
• Vaste verskeie navrae in XML lêer
• Bygevoeg beperk, ORDER BY en COUNT navrae na die XML lêer en aangepas is om die biblioteek te ontleed;
• Vaste wagwoord haal funksie, hoofsaaklik vir Microsoft SQL Server en hersien die wagwoord hashes ontleding van funksie;
• Groot fout vaste om tracebacks vermy wanneer die toetsbare parameter (s) is 'n dinamiese, maar nie inspuitbare
• Verbeterde meld stelsel: bygevoeg drie vlakke van breedsprakigheid ook HTTP gestuur en ontvang verkeer wys;
• Enhancement om Stel-Cookie hanteer van teiken url en outomaties hervestig die Sessie wanneer dit verstryk;
• Bygevoeg ondersteuning ook spuit op Set-Cookie parameters
• Geïmplementeer TAB voltooiing en opdrag geskiedenis van beide --sql-dop en --os-dop
• Herdoop paar command line opsies
• Bygevoeg 'n omskakeling biblioteek;
• Bygevoeg kode skema en aanmanings vir toekomstige ontwikkelings;
• Bygevoeg Kopiereg kommentaar en $ Id $ svn eiendom aan alle Python lêers;
• Opdateer die command line uitleg en help boodskappe
• Opdateer paar docstrings
• Opdateer dokumentasie lêers.