Obsah:
Definícia - Čo znamená nástroj SQL Injection Tool?
Nástroj na vstrekovanie SQL je nástroj, ktorý sa používa na vykonávanie útokov na vstrekovanie SQL. SQL injection je pokus o vydanie príkazov SQL do databázy prostredníctvom webového rozhrania. Takto získate informácie o uloženej databáze vrátane používateľských mien a hesiel. K dispozícii je veľa rôznych nástrojov na vstrekovanie SQL, ktoré vykonávajú rôzne techniky na využitie zraniteľností SQL na webových stránkach a webových aplikáciách.
Pero testeri a hackeri blackhat využívajú tieto nástroje na vykonávanie eskalovania privilégií, výpisu údajov a účinnú kontrolu citlivých databáz.
Techopedia vysvetľuje nástroj SQL Injection Tool
Nástroje na vstrekovanie SQL spúšťajú útoky na zneužitie zraniteľnosti zabezpečenia dostupnej v databázovej vrstve aplikácie. Databázy obvykle obsahujú také veci, ako sú (ale nielen):
- Obsah a témy stránok
- Autentifikačné údaje
- Ďalšie identifikačné údaje používateľov, napríklad adresa IP
- Konfigurácie stránok
- Komunikácia medzi používateľmi v rámci lokality
Niektoré populárne nástroje SQL injection sú:
- Havij SQL Injection: Populárny automatizovaný nástroj na vstrekovanie SQL, ktorý pomáha jeho používateľom pri zisťovaní a zneužívaní zraniteľností SQL, ktoré sa nachádzajú na webových stránkach. Vďaka intuitívnemu grafickému užívateľskému rozhraniu, ako aj automatickým detekciám a nastaveniam je tento nástroj ideálny aj pre začínajúcich používateľov.
- Pangolin: Automatizovaný nástroj na vstrekovanie SQL, ktorý využíva chyby zabezpečenia SQL, ktoré sa nachádzajú vo webových aplikáciách.
- Krtek: Ďalší automatizovaný nástroj na ťažbu injekcií SQL, ktorý dokáže zistiť a zneužiť zraniteľnosť injekcie jednoduchým použitím platného reťazca a zraniteľnej adresy URL. Krtek používa na vykonanie injekcie techniku založenú na booleovských dotazoch alebo techniku zjednotenia.
- SQLNinja: Hlavným cieľom SQL Ninja je využiť zraniteľné miesta pre SQL injekcie na webových aplikáciách, ktoré využívajú Microsoft SQL Server ako backend.
