本文概述
- suIP.biz
- 在线SQL注入测试
- Vega
- SQLMap的
- Pentest-Tools
- Appspider
- Acunetix
SQLi(SQL注入)是一种古老的技术, 黑客可以执行恶意SQL语句来接管网站。它被认为是高严重性漏洞, Acunetix的最新报告显示, 有23%的扫描目标受到此漏洞的攻击。
文章图片
SQLMap支持它, 因此它将针对所有六种注入技术进行测试。
在线SQL注入测试 Hacker Target的另一个在线工具基于SQLMap来针对HTTP GET请求查找基于绑定和错误的漏洞。
文章图片
Vega Vega是一种开源安全扫描程序软件, 可以安装在Linux, OS X和Windows上。
文章图片
Vega用Java编写, 并且基于GUI。
不只是SQLi, 你还可以使用Vega测试许多其他漏洞, 例如:
- XML / Shell / URL注入
- 目录清单
- 远程文件包括
- XSS
- 以及更多…
SQLMap的 SQLMap是流行的开源测试工具之一, 用于对关系数据库管理系统执行SQL注入。
文章图片
Sqlmap枚举用户, 密码, 哈希, 角色, 数据库, 表, 列, 以及完全转储数据库表的支持。
如果你使用的是Kali Linux, 则无需安装它也可以在其中使用SQLMap。
Pentest-Tools Pentest-Tools的在线扫描仪使用OWASP ZAP进行了测试。有两个选项-浅(免费)和完整(需要注册)。
文章图片
Appspider Rapid7开发的Appspider是一种动态的应用程序安全测试解决方案, 用于对Web应用程序进行爬网和测试以应对80多种攻击。
文章图片
【如何查找SQL注入攻击漏洞()】Appspider的独特功能称为漏洞验证程序, 使开发人员可以实时重现该漏洞。
当你纠正了漏洞并希望重新测试以确保风险得到修复后, 这将变得很方便。
Acunetix Acunetix是一款企业级Web应用程序漏洞扫描程序, 受到全球4000多个品牌的信任。不仅是SQLi扫描, 该工具还可以找到6000多个漏洞。
每个发现都按潜在的修复方法进行分类, 因此你知道该怎么做才能修复它。此外, 你可以与CI / CD系统和SDLC集成, 因此在将应用程序部署到生产环境之前, 可以识别并解决所有安全风险。
下一步是什么?
以上工具将进行测试, 并让你知道你的网站是否存在SQL注入漏洞。如果你想知道如何保护你的站点免受SQL注入, 那么以下内容将为你提供一个思路。
编码不良的Web应用程序通常负责SQL注入, 因此你必须修复易受攻击的代码。但是, 你可以做的另一件事是在应用程序前面实现WAF(Web应用程序防火墙)。
有两种将WAF与你的应用程序集成的方法。
- 将WAF集成到Web服务器中–你可以将WAF诸如ModSecurity与Nginx, Apache或WebKnight与IIS一起使用。当你自己托管网站(例如在Cloud / VPS中或专用网站)时, 这将是可能的。但是, 如果你使用共享主机, 则无法在此处安装它。
- 使用基于云的WAF –可能最简单的添加站点保护的方法是实施网站防火墙。好消息是它适用于任何网站, 而且你可以在不到10分钟的时间内启动它。
推荐阅读
- Nginx Web服务器安全性和强化指南
- 8种用于网络管理的最佳IP扫描仪工具
- 监视网站变化的7大工具
- 11种用于监视云和脚本中SSL证书到期的工具
- 如何在Nginx中实现ModSecurity OWASP核心规则集
- 改善移动应用程序安全性的8个技巧
- 9个移动应用扫描程序以查找安全漏洞
- Kali Linux在VMWare Fusion上的安装指南[带截图]
- 复制/粘贴无法在签名的Applet中工作