Über den Author / Internet / SQLMap: Automatisierte SQL Injection Tests Datenbank

SQLMap: Automatisierte SQL Injection Tests Datenbank

Stefan 16.03.2010 Internet, Programme Hinterlasse ein Kommentar

~1 Min. Lesezeit

Leider sind auch Heute noch viele Sicherheitslöcher in Webanwendungen vorhanden.
Die Angriffe werden immer gezielter und ausgefeilter.

Neu wurde ein kleines aber feines Open source Projekt ins Leben gerufen, um Webanwendungen sicherer zu machen.
SQLMap läuft Betriebssystem unabhängig auf der Commandline.

Die ersten und einfachen Tests können schnell getestet werden. Weitergehende Tests über POSTs erfordern ein wenig Aufwand.
Leider ist das Tool noch nicht wirklich effektiv zum testen und es werden viele sicherheitsrelevanten Tests nicht durchgeführt.

Die Injections Tests beinhalten:

%20AND%20931=931
%27%20AND%20%27VWlf%27=%27VWlf
%27%20AND%20%27VWlf%27%20LIKE%20%27VWlf
%22%20AND%20%22VWlf%22=%22VWlf
%22%20AND%20%22VWlf%22%20LIKE%20%22VWlf
%29%20AND%20%287343=7343
%27%29%20AND%20%28%27eeLA%27=%27eeLA
%27%29%20AND%20%28%27eeLA%27%20LIKE%20%27eeLA
%22%29%20AND%20%28%22eeLA%22=%22eeLA
%22%29%20AND%20%28%22eeLA%22%20LIKE%20%22eeLA
%29%29%20AND%20%28%285995=5995
%27%29%29%20AND%20%28%28%27Xsbu%27=%27Xsbu
%27%29%29%20AND%20%28%28%27Xsbu%27%20LIKE%20%27Xsbu
%22%29%29%20AND%20%28%28%22Xsbu%22=%22Xsbu
%22%29%29%20AND%20%28%28%22Xsbu%22%20LIKE%20%22Xsbu
%29%29%29%20AND%20%28%28%289345=9345
%27%29%29%29%20AND%20%28%28%28%27uMow%27=%27uMow
%27%29%29%29%20AND%20%28%28%28%27uMow%27%20LIKE%20%27uMow
%22%29%29%29%20AND%20%28%28%28%22uMow%22=%22uMow
%22%29%29%29%20AND%20%28%28%28%22uMow%22%20LIKE%20%22uMow

was folgendem Code entspricht:

 AND 931=931
‚ AND ‚VWlf’=’VWlf
‚ AND ‚VWlf‘ LIKE ‚VWlf
" AND "VWlf"="VWlf
" AND "VWlf" LIKE "VWlf
) AND (7343=7343
‚) AND (‚eeLA’=’eeLA
‚) AND (‚eeLA‘ LIKE ‚eeLA
") AND ("eeLA"="eeLA
") AND ("eeLA" LIKE "eeLA
)) AND ((5995=5995
‚)) AND ((‚Xsbu’=’Xsbu
‚)) AND ((‚Xsbu‘ LIKE ‚Xsbu
")) AND (("Xsbu"="Xsbu
")) AND (("Xsbu" LIKE "Xsbu
))) AND (((9345=9345
‚))) AND (((‚uMow’=’uMow
‚))) AND (((‚uMow‘ LIKE ‚uMow
"))) AND ((("uMow"="uMow
"))) AND ((("uMow" LIKE "uMow

Wenn das Tool jedoch erfolgreich eine Lücke gefunden hat, dann bietet es eine grosse Anzahl von Möglichkeiten automatisierte Attacken auf die Datenbank auszuführen.
Dabei liefert dann das Programm vielerlei Daten wie DB Struktur, Password Hashes, Backups anlegen der fremden DB, Files auf das System zu schreiben/ändern, privilegierte Systembefehle ausführen und weiteres…

Da dieses Tool erst im Aufbau ist und noch Beta ist, kann man sicher noch einiges erwarten.

SQLMap Downloads:
SQLMap 0.8 Windows
SQLMap 0.8 Debian
Andere Downloads über die Herstellerseite:
sqlmap.sourceforge.net

Tags

About Stefan

Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf. Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

Hibernate und Sleep nach Windows Update verschwunden

~0 Min. LesezeitWindows hats mal wieder gemacht, ein grosses Update, was viele Voreinstellungen einfach wieder …

WordPress Domain Suchen und ersetzen

~0 Min. Lesezeit Es gibt diverse Plugins für WordPress, welche die Datenbank durchsuchen und Domain Vorkommnisse ersetzen. Doch was, wenn das WordPress bereits nicht mehr aufrufbar ist, da eine Umstellung schief ging? Dazu sind Plugins nicht brauchbar. Aus diesem Grund stelle ich meine Domains, mit einem kleinen PHP Skript um, was ich hier vorstelle. Das Skript durchsucht nicht die komplette Datenbank, was viel zu aufwändig …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

Kontakt | Impressum | Datenschutz
© Copyright 2020, All Rights Reserved