در sqlmap کور ابزار تزریق SQL به صورت خودکار، توسعه یافته در پایتون، قادر به شمردن کل پایگاه داده از راه دور، انجام اثر انگشت پایگاه داده فعال و خیلی بیشتر است.
هدف sqlmap است برای پیاده سازی یک ابزار پایگاه داده آیفون کاملا کاربردی است که طول می کشد مزایای استفاده از برنامه وب نقص امنیتی برنامه نویسی که منجر به آسیب پذیری های تزریق SQL
ویژگی ها:.
در آزمون ثبات URL از راه دور، بر اساس هش صفحه و یا مسابقه رشته؛
شناسایی پارامترهای پویا URL.
عددی آزمون، رشته (تک و دو علامت نقل قول) تزریق SQL در تمام پارامترهای پویا URL و در ابتدا آسیب پذیر آن استفاده می شود برای انجام تزریق SQL آینده.
انتخاب ممکن از روش HTTP برای آزمایش و بهره برداری از پارامترهای پویا، GET یا POST (به طور پیش فرض: دریافت کنید).
اثر انگشت از پایگاه داده برنامه وب به عقب پایان بر اساس خروجی نمایش داده شد خاص که شناسایی ویژگی های پایگاه داده و بنر گرفتن.
HTTP تصادفی انتخاب هدر کاربری عامل.
هدر HTTP کوکی ارائه شده، زمانی مفید است که برنامه وب به مجوز نیاز دارد در کوکی ها و به شما یک حساب کاربری.
ارائه یک آدرس HTTP پروکسی ناشناس به تصویب درخواست به URL هدف.
دیگر پارامترهای خط فرمان برای به دست آوردن پایگاه داده بنر، شمردن پایگاه داده ها، جداول و ستون ها، ارزش ها روگرفت، بازیابی محتویات فایل های خودسرانه و ارائه بیان خود SQL به پرس و جو پایگاه داده از راه دور؛
پیام های اشکال زدایی خروجی در حالت دراز اعدام.
PHP تنظیم magic_quotes_gpc فرار از پرداخت های پشتیبانی می کند هر رشته پرس و جو، بین نقل قول تکی، با CHAR (یا مشابه) تابع پایگاه داده باشد.
بررسی ساختار درختی دایرکتوری.
پذیری معاونت / common.py: ویژگی های تزریق inband در حال حاضر
به معاونت / union.py نقل مکان کرد.
فایل های به روز رسانی اسناد و مدارک.
به چه چیزی جدید در این نسخه است:
این نسخه ویژگی های یک موتور کاملا بازنویسی و قدرتمند تزریق SQL تشخیص، توانایی اتصال مستقیم به سرور پایگاه داده، پشتیبانی از کور مبتنی بر زمان تزریق SQL و مبتنی بر خطا تزریق SQL، پشتیبانی از چهار سیستم های مدیریت پایگاه داده جدید، و خیلی بیشتر.
به چه جدید در نسخه 0.6.4 است:
یک افزایش بزرگ را به کار الگوریتم مقایسه درستی بر روی URL هایی که با استفاده از شی difflib تطبیق توالی پایدار نیست اجرا شد.
تغییر مهمی برای حمایت از SQL اظهارات تعریف داده ها، دستکاری داده ها SQL اظهارات، و غیره از کاربر در پرس و جو SQL SQL و پوسته اگر نمایش داده شد انباشته توسط فن آوری نرم افزار وب سایت پشتیبانی انجام شد.
افزایش سرعت بزرگ در DBMS اثر انگشت پایه ساخته شده است.
به چه جدید در نسخه 0.6.1 است:
یک اشکالات عمده به نابینایان الگوریتم دو بخشی تزریق SQL که مسئولیت رسیدگی به یک استثنا ساخته شده است.
Metasploit چارچوب 3 ماژول کمکی برای اجرای sqlmap اضافه شد.
امکان برای تست و تزریق نیز در اظهارات LIKE اجرا شد.
به چه جدید در نسخه 0.6 است:
refactor کد کامل و بسیاری از اشکالات ثابت.
اضافه شده multithreading پشتیبانی برای تنظیم حداکثر تعداد درخواست HTTP همزمان؛
اجرا پوسته SQL (--sql پوسته) قابلیت و پرس و جو SQL ثابت (--sql-پرس و جو، قبل از نام -e) قادر به اجرا هر عبارت SELECT و خروجی آن در هر دو inband و حمله تزریق SQL کور؛
اضافه شده گزینه ای (--privileges) برای بازیابی DBMS کاربران امتیازات، آن را نیز به اطلاع در صورتی که کاربر یک مدیر DBMS است.
اضافه شدن پشتیبانی از (-c) به عنوان خوانده شده گزینه از فایل پیکربندی، به عنوان مثال از فایل INI معتبر sqlmap.conf و پشتیبانی است (--save) برای صرفه جویی در گزینه های خط فرمان در یک فایل پیکربندی.
ایجاد یک تابع است که به روز رسانی کل sqlmap به آخرین نسخه های در حال اجرا sqlmap با گزینه --update.
sqlmap ایجاد های dep (دبیان، اوبونتو، و غیره) و rpm را (فدورا، و غیره) بسته های باینری نصب و راه اندازی.
ایجاد sqlmap های exe (ویندوز) اجرایی قابل حمل؛
نجات بسیاری از اطلاعات بیشتر به فایل جلسه، زمانی مفید است که از سرگیری تزریق بر همان هدفی به زمان سست نیست بر شناسایی تزریق، زمینه UNION و DBMS عقب پایان دو بار و یا برابر بیشتر.
بهبود کنترل خودکار برای پرانتز در هنگام تست و جعل بردار پرس و جو SQL.
در حال حاضر آن برای تزریق SQL در تمام پارامترهای GET / POST / کوکی چک و سپس آن را اجازه می دهد تا کاربر را انتخاب کنید که پارامتر به انجام تزریق در صورتی که بیش از یک تزریقی است.
پشتیبانی اجرا برای درخواست HTTPS بیش از HTTP (S) پروکسی.
اضافه شدن یک چک که مسئولیت رسیدگی به NULL یا در دسترس نیست خروجی نمایش داده شد.
بیشتر آنتروپی (randomStr () و randomInt () توابع در معاونت / هسته / common.py) در تزریق SQL پرس و جو inband متنی طولانی و در شرایط و چک.
بهبود ساختار فایل XML.
اجرا امکان تغییر هدر HTTP مراجعه.
اضافه شدن پشتیبانی برای از سرگیری از فایل جلسه همچنین زمانی که در حال اجرا با حمله تزریق SQL inband.
اضافه شده گزینه ای (--os پوسته) برای اجرای دستورات سیستم عامل اگر به عقب پایان DBMS خروجی زیر، سرور وب است موتور PHP فعال و اجازه دسترسی ارسال در یک دایرکتوری در ریشه سند.
اضافه شدن یک چک به اطمینان می دهم که رشته ارائه برای مطابقت با (--string) است که در داخل محتوای صفحه.
ثابت مختلف نمایش داده شد در XML فایل؛
اضافه شده LIMIT، ORDER BY و COUNT نمایش داده شد به فایل XML و اقتباس کتابخانه به آن تجزیه.
رمز عبور ثابت دلربا تابع، به طور عمده برای مایکروسافت SQL سرور و رشته هش کلمه عبور تجزیه تابع بررسی.
اشکال عمده ثابت برای جلوگیری از tracebacks زمانی که پارامتر قابل آزمون (بازدید کنندگان) پویا، اما تزریقی نمی باشد.
پیشرفته سیستم ورود به سیستم: اضافه سه سطح دراز نویسی برای نشان دادن ترافیک HTTP نیز ارسال و دریافت.
افزایش مسئولیت رسیدگی به تنظیم کوکی از URL هدف و به طور خودکار دوباره برقرار جلسه زمانی که آن را به پایان می رسد.
اضافه شدن پشتیبانی برای تزریق نیز بر پارامترهای تنظیم کوکی.
تکمیل TAB اجرا و تاریخ دستور در هر دو --sql پوسته و --os پوسته.
تغییر نام برخی از گزینه های خط فرمان.
اضافه شده یک کتابخانه تبدیل،
اضافه شده طرح کد و یادآور برای تحولات آینده؛
اضافه شده نظر کپی رایت و مالکیت $ $ شناسه SVN به تمام فایل های پایتون.
به روز شده در طرح بندی و کمک خط فرمان پیام.
به روز شده در برخی از docstrings.
فایل های به روز رسانی اسناد و مدارک.
نظر یافت نشد