SQLMap: Automatisierte SQL Injection Tests Datenbank

Stefan 16.03.2010 Internet, Programme Hinterlasse ein Kommentar

Leider sind auch Heute noch viele Sicherheitslöcher in Webanwendungen vorhanden.
Die Angriffe werden immer gezielter und ausgefeilter.

Neu wurde ein kleines aber feines Open source Projekt ins Leben gerufen, um Webanwendungen sicherer zu machen.
SQLMap läuft Betriebssystem unabhängig auf der Commandline.

Die ersten und einfachen Tests können schnell getestet werden. Weitergehende Tests über POSTs erfordern ein wenig Aufwand.
Leider ist das Tool noch nicht wirklich effektiv zum testen und es werden viele sicherheitsrelevanten Tests nicht durchgeführt.

Die Injections Tests beinhalten:

%20AND%20931=931
%27%20AND%20%27VWlf%27=%27VWlf
%27%20AND%20%27VWlf%27%20LIKE%20%27VWlf
%22%20AND%20%22VWlf%22=%22VWlf
%22%20AND%20%22VWlf%22%20LIKE%20%22VWlf
%29%20AND%20%287343=7343
%27%29%20AND%20%28%27eeLA%27=%27eeLA
%27%29%20AND%20%28%27eeLA%27%20LIKE%20%27eeLA
%22%29%20AND%20%28%22eeLA%22=%22eeLA
%22%29%20AND%20%28%22eeLA%22%20LIKE%20%22eeLA
%29%29%20AND%20%28%285995=5995
%27%29%29%20AND%20%28%28%27Xsbu%27=%27Xsbu
%27%29%29%20AND%20%28%28%27Xsbu%27%20LIKE%20%27Xsbu
%22%29%29%20AND%20%28%28%22Xsbu%22=%22Xsbu
%22%29%29%20AND%20%28%28%22Xsbu%22%20LIKE%20%22Xsbu
%29%29%29%20AND%20%28%28%289345=9345
%27%29%29%29%20AND%20%28%28%28%27uMow%27=%27uMow
%27%29%29%29%20AND%20%28%28%28%27uMow%27%20LIKE%20%27uMow
%22%29%29%29%20AND%20%28%28%28%22uMow%22=%22uMow
%22%29%29%29%20AND%20%28%28%28%22uMow%22%20LIKE%20%22uMow

was folgendem Code entspricht:

 AND 931=931
‚ AND ‚VWlf’=’VWlf
‚ AND ‚VWlf‘ LIKE ‚VWlf
" AND "VWlf"="VWlf
" AND "VWlf" LIKE "VWlf
) AND (7343=7343
‚) AND (‚eeLA’=’eeLA
‚) AND (‚eeLA‘ LIKE ‚eeLA
") AND ("eeLA"="eeLA
") AND ("eeLA" LIKE "eeLA
)) AND ((5995=5995
‚)) AND ((‚Xsbu’=’Xsbu
‚)) AND ((‚Xsbu‘ LIKE ‚Xsbu
")) AND (("Xsbu"="Xsbu
")) AND (("Xsbu" LIKE "Xsbu
))) AND (((9345=9345
‚))) AND (((‚uMow’=’uMow
‚))) AND (((‚uMow‘ LIKE ‚uMow
"))) AND ((("uMow"="uMow
"))) AND ((("uMow" LIKE "uMow

Wenn das Tool jedoch erfolgreich eine Lücke gefunden hat, dann bietet es eine grosse Anzahl von Möglichkeiten automatisierte Attacken auf die Datenbank auszuführen.
Dabei liefert dann das Programm vielerlei Daten wie DB Struktur, Password Hashes, Backups anlegen der fremden DB, Files auf das System zu schreiben/ändern, privilegierte Systembefehle ausführen und weiteres…

Da dieses Tool erst im Aufbau ist und noch Beta ist, kann man sicher noch einiges erwarten.

SQLMap Downloads:
SQLMap 0.8 Windows
SQLMap 0.8 Debian
Andere Downloads über die Herstellerseite:
sqlmap.sourceforge.net

Tags

About Stefan

Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf. Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

Windows 10 Autostart Ordner

Es gibt gewisse Programme, welche man am liebsten mit dem Systemstart ausführen möchte. Leider bieten …

Nginx, PHP-FPM und Let’s Encrypt per Docker-Compose aufsetzen

Um einen LAMDA Server einfach aufzusetzen, wie in meinem Fall auf Amazon EC2, geht es …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

Kontakt | Impressum | Datenschutz
© Copyright 2020, All Rights Reserved