क्या स्वचालित उपकरण हैं?एसक्यूएल इंजेक्शन हमलों के लिए मैं अपनी वेबसाइट का परीक्षण कैसे कर सकता हूं?
उत्तर
sqlmap: एक एसक्यूएल इंजेक्शन उपकरण
sqlmap एक स्वत: एसक्यूएल इंजेक्शन उपकरण अजगर में विकसित है। वेब अनुप्रयोगों पर एसक्यूएल इंजेक्शन भेद्यता का पता लगाने और उसका लाभ लेने के लिए इसका लक्ष्य है। एक बार जब यह लक्ष्य मेजबान पर एक या एक से अधिक एसक्यूएल इंजेक्शन का पता लगाता है, तो उपयोगकर्ता एक व्यापक बैक-एंड डेटाबेस प्रबंधन प्रणाली फिंगरप्रिंट प्रदर्शन करने के लिए विकल्प की एक किस्म के बीच चयन कर सकते हैं, डीबीएमएस सत्र उपयोगकर्ता और डेटाबेस को पुनः प्राप्त, उपयोगकर्ताओं की गणना , पासवर्ड हैश, विशेषाधिकार, डेटाबेस, संपूर्ण या उपयोगकर्ता के विशिष्ट डीबीएमएस टेबल/कॉलम डंप करें, अपने स्वयं SQL चयन कथन चलाएं, फ़ाइल सिस्टम पर विशिष्ट फ़ाइलों को पढ़ें और और भी बहुत कुछ।
यहाँ एक है, जुड़ा हुआ नहीं के बाद से वहाँ पर शक करने के लिए यह मैलवेयर है अच्छा कारण है ...
http://www.darknet.org.uk/2008/09/bsql-hacker-automated-sql-injection-framework/
तुम भी एक स्क्रिप्ट बच्चा ऐप्लिकेशन ढूंढ सकते हैं और अपनी साइट पर यह लक्ष्य कर सकते हैं, वे एसक्यूएल इंजेक्शन का उपयोग करना पसंद करते हैं।
लेकिन ऐसा करने के बजाय, क्या यह एक लाइब्रेरी का उपयोग करना आसान और आसान नहीं है जो एसक्यूएल इंजेक्शन को रोकता है?
मुझे इसे जांचने के लिए बहुत अच्छी लगती है, भले ही लाइब्रेरी उन्हें रोकने के लिए कहती है। आपको कैसे पता चलेगा कि लाइब्रेरी में कोई बग (या बैकडोर) नहीं है, इसके अलावा पूरी तरह से कोड समीक्षा और परीक्षण भी है? –
@ विंको: क्योंकि एक उचित लाइब्रेरी बस सभी इनपुट पर डेटाबेस लेयर के एस्केप फ़ंक्शन (mysql_real_escape_string) को कॉल करेगी। इस तरह के कार्यों को सुरक्षा के लिए बड़े पैमाने पर जांच की जाती है। –
और आप कैसे जानते हैं कि लाइब्रेरी पहले इसे जांच किए बिना "उचित" है? परावर्तक की एक निश्चित डिग्री स्वस्थ है। –
मैकएफी से एक वाणिज्यिक स्वचालित उपकरण Scan Alert है। वे आपकी साइट को प्रतिदिन मकड़ी देते हैं और किसी भी भेद्यता की रिपोर्ट करते हैं - न केवल एसक्यूएल इंजेक्शन, बल्कि बंदरगाहों जैसी चीजें जो सर्वर पर चल रहे सॉफ़्टवेयर के खुले या असुरक्षित संस्करण नहीं होने चाहिए।
एक मृत लिंक की तरह लगता है (यह मुखपृष्ठ पर रीडायरेक्ट करता है)। – kenorb
बस उन तकनीकों के उपयोग से परहेज करने के बारे में जो SQL इंजेक्शन को पहले स्थान पर अटैक करने की अनुमति देते हैं?
यदि आप गतिशील एसक्यूएल के बजाय तैयार वक्तव्य का उपयोग करते हैं, तो आप सुनहरे हैं - एसक्यूएल इंजेक्शन हमले असंभव हो जाते हैं, और आपको बूट करने के लिए बेहतर प्रदर्शन मिलता है! गतिशील एसक्यूएल में उपयोगकर्ता द्वारा प्रदत्त स्ट्रिंग का कभी भी उपयोग न करें! यह कुछ होने का एकमात्र तरीका है कि आपका डीबी इंजेक्शन हमलों से सुरक्षित है। यहां तक कि स्वचालित उपकरण ब्लाइंड स्पॉट है - सभी के बाद वे मनुष्य द्वारा बनाई गई हैं ...
उपयोगी संसाधन: Oracle Tutorial on Defending against SQL Injection Attacks
findbugs उपकरण जावा कोड में संभावित SQL इंजेक्शन हमले का पता लगाने, स्थैतिक विश्लेषण का उपयोग करने के लिए कुछ समर्थन हासिल है। अनिवार्य रूप से यह उन मामलों की तलाश करेगा जहां इनपुट पैरामीटर का उपयोग तैयार कथन पैरामीटर के रूप में उपयोग किए जाने के बजाय SQL क्वेरी बनाने के लिए किया जाता है।
मैं वास्तव में इस्तेमाल नहीं किया गया है उनके फ़ायरफ़ॉक्स प्लग में, लेकिन उनमें से एक एसक्यूएल इंजेक्शन समस्याओं को खोजने के लिए है।
https://addons.mozilla.org/en-US/firefox/addon/7597/ फ़ायरफ़ॉक्स प्लगइन का लिंक है। आईएमएचओ, एसक्यूएल इंजेक्शन का परीक्षण करने के लिए यह सबसे आसान टूल है। – Axeva
WebCruiser - वेब भेद्यता स्कैनर न केवल एक वेब सुरक्षा स्कैनिंग उपकरण है, बल्कि एक स्वचालित एसक्यूएल इंजेक्शन उपकरण, XPath इंजेक्शन उपकरण, और cross-site scripting उपकरण भी है!
हम से अधिक है बस BSQL :) उन्हें बाहर यहाँ देखें -
- 1. स्क्रिप्ट या प्रोग्राम का उपयोग करके, मैं स्वचालित रूप से एसक्यूएल इंजेक्शन हमलों के लिए अपनी साइट का परीक्षण कैसे कर सकता हूं?
- 2. मैं अपने एएसपी.NET एप्लिकेशन में एसक्यूएल इंजेक्शन हमलों से कैसे बच सकता हूं?
- 3. मैं अपनी httpPost विधि का परीक्षण कहां कर सकता हूं?
- 4. क्या मैं पैरामीटर का उपयोग करके सभी एसक्यूएल-इंजेक्शन हमलों से बच सकता हूं?
- 5. मैं 'डाउन' वेबसाइट का अनुकरण कैसे कर सकता हूं?
- 6. ओएस एक्स पर सफारी के पुराने संस्करण में मैं अपनी वेबसाइट का परीक्षण कैसे कर सकता हूं?
- 7. एसक्यूएल सर्वर: इंजेक्शन हमलों के खिलाफ @param sanitizing
- 8. मैं अपनी वेबसाइट
- 9. मैं बिना किसी के आईपैड पर अपनी साइट का परीक्षण कैसे कर सकता हूं?
- 10. मैं नकारात्मक शून्य के लिए कैसे परीक्षण कर सकता हूं?
- 11. मैं अपनी वेबसाइट को सबवर्जन रिपॉजिटरी से अपडेट करने के लिए एफ़टीपी का उपयोग कैसे कर सकता हूं?
- 12. मैं अपनी वेबसाइट में फेसबुक से अपनी व्यक्तिगत सामग्री कैसे दिखा सकता हूं?
- 13. मैं कैसे परीक्षण कर सकता हूं: RSpec
- 14. मैं जीसी परीक्षण कैसे कर सकता हूं?
- 15. मैं कोर डेटा माइग्रेशन का परीक्षण कैसे कर सकता हूं?
- 16. मैं अपनी वेबसाइट के लिए आवर्ती मासिक सदस्यता शुल्क कैसे लगा सकता हूं?
- 17. सफारी मोबाइल में मैं अपनी वेबसाइट का काम कैसे देख सकता हूं?
- 18. मैं वेबसाइट समर्थन वीआईएम कीबाइंडिंग कैसे कर सकता हूं?
- 19. क्या मैं अपनी वेबसाइट पर Google परिणामों से छवियों का उपयोग कर सकता हूं?
- 20. मैं सबसे सामान्य सुरक्षा त्रुटियों के लिए PHP साइट सुरक्षा का परीक्षण कैसे कर सकता हूं?
- 21. WP 7.5 - मैं टॉम्बस्टनिंग का परीक्षण कैसे कर सकता हूं?
- 22. मैं एक विंडोज सेवा का परीक्षण कैसे कर सकता हूं?
- 23. मैं एक जैस्पर रिपोर्ट का परीक्षण कैसे कर सकता हूं?
- 24. मैं इस फ्लास्क ऐप का परीक्षण कैसे कर सकता हूं?
- 25. मैं मॉडलस्टेट का परीक्षण कैसे कर सकता हूं?
- 26. मैं मोबाइल उपकरणों के लिए वेबसाइटों का परीक्षण कैसे कर सकता हूं
- 27. मैं अपनी स्थानीय मशीन पर सीओआरएस का अनुकरण कैसे कर सकता हूं?
- 28. एएसपीनेट डेवलपर्स के लिए अपनी मौजूदा वेबसाइट
- 29. मैं केवल अपनी यूआई परीक्षण परियोजना के लिए अतिरिक्त एंड्रॉइड अनुमतियां कैसे जोड़ सकता हूं?
- 30. मैं अपनी फ़ाइल को utf8 में बदलने के लिए vim का उपयोग कैसे कर सकता हूं?
sqlmap एक शोषण उपकरण है, यह संभव एसक्यूएल इंजेक्शन कमजोरियों के लिए एक वेबसाइट स्कैन नहीं कर सकते। –