如何查找SQL注入攻击漏洞（） _Web安全

本文概述

suIP.biz
在线SQL注入测试
Vega
SQLMap的
Pentest-Tools
Appspider
Acunetix

测试你的网站是否受到SQL注入攻击, 并防止其被黑客入侵。
SQLi(SQL注入)是一种古老的技术, 黑客可以执行恶意SQL语句来接管网站。它被认为是高严重性漏洞, Acunetix的最新报告显示, 有23％的扫描目标受到此漏洞的攻击。

文章图片
SQLMap支持它, 因此它将针对所有六种注入技术进行测试。
在线SQL注入测试 Hacker Target的另一个在线工具基于SQLMap来针对HTTP GET请求查找基于绑定和错误的漏洞。

文章图片
Vega Vega是一种开源安全扫描程序软件, 可以安装在Linux, OS X和Windows上。

文章图片
Vega用Java编写, 并且基于GUI。
不只是SQLi, 你还可以使用Vega测试许多其他漏洞, 例如：

XML / Shell / URL注入
目录清单
远程文件包括
XSS
以及更多…

Vega看起来很有前途的免费Web安全扫描程序。
SQLMap的 SQLMap是流行的开源测试工具之一, 用于对关系数据库管理系统执行SQL注入。

文章图片
Sqlmap枚举用户, 密码, 哈希, 角色, 数据库, 表, 列, 以及完全转储数据库表的支持。
如果你使用的是Kali Linux, 则无需安装它也可以在其中使用SQLMap。
Pentest-Tools Pentest-Tools的在线扫描仪使用OWASP ZAP进行了测试。有两个选项-浅(免费)和完整(需要注册)。

文章图片
Appspider Rapid7开发的Appspider是一种动态的应用程序安全测试解决方案, 用于对Web应用程序进行爬网和测试以应对80多种攻击。

文章图片
【如何查找SQL注入攻击漏洞（）】Appspider的独特功能称为漏洞验证程序, 使开发人员可以实时重现该漏洞。
当你纠正了漏洞并希望重新测试以确保风险得到修复后, 这将变得很方便。
Acunetix Acunetix是一款企业级Web应用程序漏洞扫描程序, 受到全球4000多个品牌的信任。不仅是SQLi扫描, 该工具还可以找到6000多个漏洞。

每个发现都按潜在的修复方法进行分类, 因此你知道该怎么做才能修复它。此外, 你可以与CI / CD系统和SDLC集成, 因此在将应用程序部署到生产环境之前, 可以识别并解决所有安全风险。
下一步是什么？
以上工具将进行测试, 并让你知道你的网站是否存在SQL注入漏洞。如果你想知道如何保护你的站点免受SQL注入, 那么以下内容将为你提供一个思路。
编码不良的Web应用程序通常负责SQL注入, 因此你必须修复易受攻击的代码。但是, 你可以做的另一件事是在应用程序前面实现WAF(Web应用程序防火墙)。
有两种将WAF与你的应用程序集成的方法。

将WAF集成到Web服务器中–你可以将WAF诸如ModSecurity与Nginx, Apache或WebKnight与IIS一起使用。当你自己托管网站(例如在Cloud / VPS中或专用网站)时, 这将是可能的。但是, 如果你使用共享主机, 则无法在此处安装它。
使用基于云的WAF –可能最简单的添加站点保护的方法是实施网站防火墙。好消息是它适用于任何网站, 而且你可以在不到10分钟的时间内启动它。