Dettagli del software:
Versione: 0.9
Data di caricamento: 11 May 15
Licenza: Libero
Popolarità: 507
sqlmap è uno strumento automatico cieco SQL injection, sviluppato in python, capace di enumerare intero database remoto, eseguire un impronta database attivo e molto altro ancora.
L'obiettivo di sqlmap è quello di implementare uno strumento di database mapper completamente funzionale che prende i vantaggi di applicazioni Web difetti di sicurezza di programmazione che portano alla vulnerabilità di SQL injection
Caratteristiche .
- Prova della stabilità URL remoto, in base a pagina hash o partita string;
- Identificazione di parametri dinamici url;
- Prova numerico, stringa (apice singolo e le doppie virgolette) SQL injection su tutti i parametri dinamici url e in un primo momento vulnerabile sarà utilizzato per eseguire le iniezioni SQL future;
- Possibilità di selezione di metodo HTTP per il test e lo sfruttamento parametri dinamici, GET o POST (default: GET);
- impronte di database dell'applicazione web back-end basato su specifica uscita query che identificano le caratteristiche del database e la bandiera afferrare;
- HTTP casuale selezione User-Agent intestazione;
- Cookie HTTP fornito, utile quando l'applicazione Web richiede l'autorizzazione sulla base di biscotti e un conto;
- Fornire un indirizzo proxy HTTP anonimo per passare dalla richiesta all'URL di destinazione;
- Altri parametri della riga di comando per ottenere dati banner, enumerare database, tabelle, colonne, i valori di dump, recuperare un contenuto di un file arbitrario e forniscono propria espressione SQL per interrogare database remoto;
- messaggi di output di debug in esecuzione modalità dettagliata;
- impostazione magic_quotes_gpc evasione codificando ogni query string, tra virgolette singole, con CHAR (o simile) funzione di database di PHP.
- Inviato la struttura ad albero di directory;
- lib Splitted / common.py: funzionalità iniezione inband ora sono
- trasferisce a lib / union.py;
- file di documentazione aggiornate.
Intestazione
Cosa c'è di nuovo in questa versione:
- Questa versione dispone di un motore di rilevamento di iniezione completamente riscritto e potente SQL , la possibilità di connettersi direttamente a un server di database, il supporto per a tempo cieco iniezione SQL e SQL injection-based errore, il supporto per quattro nuovi sistemi di gestione di database, e molto altro.
Cosa c'è di nuovo nella versione 0.6.4:
- Un aumento maggiore è stato realizzato per rendere l'algoritmo di confronto funzionare correttamente su URL che non sono stabili utilizzando l'oggetto difflib Sequenza Matcher.
- Un aumento maggiore è stato fatto per sostenere le istruzioni di definizione dati SQL, istruzioni di manipolazione dei dati SQL, eccetera da parte dell'utente di query SQL e SQL shell se le query accatastati sono supportati dalla tecnologia di applicazione Web.
- Un importante aumento di velocità è stato fatto in DBMS impronte digitali di base.
Cosa c'è di nuovo nella versione 0.6.1:
- Un importante bugfix è stato fatto per l'iniezione SQL cieco Algoritmo di bisezione per gestire una eccezione.
- Un modulo ausiliario Metasploit Framework 3 è stato aggiunto per eseguire sqlmap.
- è stata implementata la possibilità di testare e immettere anche su affermazioni come.
Cosa c'è di nuovo nella versione 0.6:
- completo del codice refactoring e molti bug corretti;
- Aggiunto il supporto multithreading per impostare il numero massimo di richieste HTTP simultanee;
- shell SQL Implementata (--sql-shell) funzionalità e query SQL fissa (--sql-query, prima chiamato -e) per essere in grado di eseguire qualunque SELECT e ottenere la sua uscita sia in banda e SQL cieco attacco iniezione ;
- aggiunta un'opzione (--privileges) per recuperare utenti DBMS privilegi, lo comunica anche se l'utente è un amministratore di DBMS;
- Aggiunto il supporto (-c) per leggere le opzioni dal file di configurazione, un esempio di file di INI valido è sqlmap.conf e supporto (--save) per salvare le opzioni della riga di comando su un file di configurazione;
- Creata una funzione che aggiorna l'intera sqlmap all'ultima versione stabile disponibile eseguendo sqlmap con opzione --update;
- Creata sqlmap .deb (Debian, Ubuntu, ecc) e .rpm (Fedora, ecc) i pacchetti di installazione binari;
- Creata sqlmap .exe (Windows) portatile eseguibile;
- Risparmiare un sacco di informazioni per il file di sessione, utile quando si riprende iniezione sullo stesso bersaglio di tempo non sciolto sull'identificazione di iniezione, campi UNION e DBMS back-end due o più volte;
- Migliorato controllo automatico degli parentesi durante il test e la creazione di query SQL vettore;
- Ora controlla per l'iniezione SQL su tutti i GET / POST / Cookie parametri poi consente all'utente di selezionare quale parametro per eseguire l'iniezione in nel caso in cui più di uno è iniettabile;
- Il supporto per le richieste HTTPS su HTTP (S) delega;
- Aggiunto un controllo per gestire NULL o non disponibile query di uscita;
- Più entropia (randomStr () e randomInt () funzioni in lib / core / common.py) a iniezione SQL inband domanda concatenati e in e lo stato dei controlli;
- migliorata struttura dei file XML;
- Implementato la possibilità di modificare l'intestazione Referer HTTP;
- Aggiunto il supporto per riprendere da file di sessione anche durante l'esecuzione con inband attacco SQL injection;
- Aggiunta una opzione (--os-shell) per eseguire comandi del sistema operativo se il back-end DBMS è MySQL, il web server ha il motore PHP attivo e consente l'accesso in scrittura su una directory all'interno della document root;
- Aggiunto un controllo per assicurare che la stringa fornita per abbinare (--string) è all'interno del contenuto della pagina;
- varie query fissa in file XML;
- Aggiunta LIMITE, ORDER BY e contare le query al file XML e adattato in biblioteca per analizzarlo;
- password fissa funzione recupero, soprattutto per Microsoft SQL Server e rivisto la funzione hash delle password di analisi;
- Maggiore bug per evitare traceback quando il parametro verificabili (s) è dinamico, ma non iniettabili;
- avanzato sistema di registrazione: aggiunto altri tre livelli di verbosità per mostrare anche HTTP inviati e ricevuti traffico;
- Accessori per gestire Set-Cookie dall'obiettivo url e automaticamente ri-stabilire la sessione quando scade;
- Aggiunto il supporto per iniettare anche su parametri Set-Cookie;
- completamento TAB Implementato e la cronologia dei comandi sia --sql-shell e --os-shell;
- Rinominato alcune opzioni da linea di comando;
- Aggiunta una libreria di conversione;
- Aggiunto schema codice e promemoria per gli sviluppi futuri;
- Commento aggiunto Copyright e $ proprietà Id $ svn a tutti i file Python;
- Aggiornato il layout di riga di comando e aiutare;
- Aggiornato alcuni docstring;
- file di documentazione aggiornate.
Messaggi
I commenti non trovato