二、SQLMap:
這是一個自動的“盲目”SQL注入工具,它用Python開發,它能執行一個動態的數據庫管理系統指紋識別,可以完整地窮舉遠程數據庫。其目標是實施一個完整的功能性數據庫管理系統工具,它能夠利用Web應用程序程序設置的全部缺陷,這些安全缺陷可以導致SQL注入漏洞。
在SQLMap檢測到目標系統上的一個或多個SQL注入漏洞之後,用戶就可以從多種選項中選擇,進而執行全面的後端數據庫管理系統指紋識別,檢索數據庫管理系統會話用戶和數據庫,窮舉用戶、口令哈希、數據庫,運行其自身的SQL SELECT語句,讀取文件系統上的特定文件等。
此軟件完全支持MySQL、 Oracle、PostgreSQL、Microsoft SQL Server等後端數據庫管理系統。此外,它還識別微軟的Access數據庫,以及DB2、Informix、 Sybase 、 Interbase等。
其使用方法如下:
sqlmap.py [選項] {-u -g -c <配置文件>}
其中,-u URL指明目標URL
-g google dork 將google dork結果處理為目標url
三、SQLID:
此工具是一個SQL注入漏洞挖掘器,是一個命令行實用程序,它能夠查找SQL注入漏洞和網站中的常見錯誤。它可以執行以下幾種操作:查找網頁中的SQL注入漏洞,測試提交的表單,查找SQL注入漏洞的可能性。它還支持HTTP、HTTPS、基本身份驗證等。
其用法如下:
Sqid.rb [選項]
其選項有以下幾種:
-m,--mode MODE,它指明以某種模式進行操作,其中MODE有以下幾種情況:g,google:以google搜索模式操作;u,url檢查這個url;p,page,它主要檢查單一的網頁;c,crawl,檢查站點。
其中,google搜索模式選項有以下幾種情況,-q,--quary 查詢,QUERY執行google搜索;-s,--start START,對所需要的首個結果的零索引;-r,--results RESULTS,在此指明所需要的結果數量,默認值為20。
