四、SQL Power Injector
SQL Power Injector可幫助滲透測試人員找到並利用網頁上的漏洞。目前,它支持SQL Server、Oracle、MySQL、Sybase/Adaptive Sever和DB2等數據庫,但在使用inline注入時,還可借助現有的數據庫管理系統來使用此軟件。
其自動化的工作模式以兩種方式進行,一是比較期望的結果,二是根據時間延遲。
其工作狀態如圖2:
圖2
五、SQLNinja:
Sqlninja可以利用以SQL Server為後端數據支持的應用程序的漏洞,其主要目標是提供對有漏洞的數據庫服務器的遠程訪問。Sqlninja的行為受到配置文件的控制,它告訴了Sqlninja攻擊的目標和方式,還有一些命令行選項。比如,有如下一些命令選項:
-m<攻擊模式>,其攻擊模式有測試(test)、指紋識別(fingerprint)、強力攻擊(bruteforce)等;
其它的命令選項,-v : 指明進行詳細輸出;-f<配置文件>:指明一個使用的配置文件。-w<單詞列表>指明以強力攻擊模式使用的單詞列表。
如圖3是運行過程界面:
