sqlmap Herramienta de inyección de SQL ciega automática, desarrollada en Python, capaz de realizar un dedo del sistema de administración de bases de datos activo
Descargar ahora

sqlmap Clasificación y resumen

sqlmap Etiquetas

Sql inyectar inyección inyección SQL probador de seguridad de base de datos Huella digital de back-end de la base de datos

sqlmap Descripción

La herramienta de inyección de SQL ciega automática, desarrollada en Python, capaz de realizar un sistema de administración de la base de datos activo, SQLMAP es una herramienta de inyección de SQL automática completamente desarrollada en Python. SQLMAP es capaz de realizar una extensa huella dactilar de back-end de la administración de la base de datos, leer archivos del sistema, recuperar las bases de datos de DBMS remotas, las tablas, los nombres de usuario, las columnas, enumerar a toda la DBMS, y aprovechar la seguridad de la aplicación de aplicaciones web Fla. Características principales de SQLMAP: Soporte completo para MySQL, Oracle, PostgreSQL y Microsoft SQL Server Base de administración del sistema Back-End. Además de estos cuatro DBMS, SQLMAP también puede identificar Microsoft Access, DB2, Informix y Sybase; Amplio sistema de gestión de la base de datos Huella digital back-end basada en: Mensajes de error de DBMS INBAND DBMS DBMS BANNER PERSONAL Funciones de DBMS Comparación de salida Características específicas de DBMS, como la inyección de comentarios de MySQL Fuzzing Pasivo SQL Inyección Apoya completamente las dos técnicas de inyección de SQL: Inyección ciega de SQL Inyección de SQL en banda, también conocida como inyección de SQL de consulta sindical y admite parcialmente la inyección de SQL basada en errores como uno de los vectores para la huella digital del sistema de gestión de la base de datos; Automáticamente prueba todos los parámetros de GET, POST, COOKIE y AGENTES DE USUARIO PROPORCIONADOS PARA ENCONTRAR UNOS DYNOMÁTICOS. En estos, prueba automáticamente y detecta los afectados por la inyección de SQL. Además, cada parámetro dinámico se prueba para una cadena numérica, única cotizada, cadena cotizada doble y todos estos tres tipos con uno y dos soportes para encontrar cuál es la sintaxis válida para realizar nuevas inyecciones con; Es posible proporcionar el nombre de los únicos parámetros que desea realizar pruebas y usar para inyección, siendo ellos, publican, parámetros de cookie; Las pruebas de inyección de SQL y la detección no dependen del back-end del sistema de administración de la base de datos de la aplicación web. La explotación de inyección de SQL y la sintaxis de consulta, obviamente, dependen de la aplicación web de la base de datos del sistema de administración de la base de datos; Reconoce las consultas válidas por las falsas basadas en la comparación de hashes de la página de salida HTML de forma predeterminada, pero también es posible elegir realizar dicha prueba basada en la coincidencia de cadenas; Las solicitudes de HTTP se pueden realizar en ambos métodos HTTP y publican (predeterminado: Obtener); Es posible realizar solicitudes HTTP utilizando una cadena de encabezados de agente de usuario HTTP seleccionada al azar de un archivo de texto; Es posible proporcionar una cadena de encabezado de cookies HTTP, útil cuando la aplicación web requiera autenticación basada en las cookies y usted tiene dichos datos; Es posible proporcionar una dirección de proxy HTTP anónima y un puerto para pasar por las solicitudes HTTP a la URL de destino; Es posible proporcionar el retroalimentación remota DBMS si ya lo sabe haciendo que SQLMAP ahorre tiempo para dar la huella digital; Admite varias opciones de línea de comandos para obtener banner del sistema de gestión de la base de datos, el usuario actual de DBMS, la base de datos actual de DBMS, los usuarios de enumeración, los usuarios de los usuarios, las bases de datos, las tablas, las columnas, las entradas de las tablas de descarga, la descarga de todos los DBMS, recupere un contenido de archivos arbitrarios (si El DBMS remoto es MYSQL) y proporciona evaluación de su propia instrucción SQL SELECT para ser evaluada; Es posible hacer que SQLMAP detecte automáticamente si el parámetro afectado también se ve afectado por una inyección de SQL de consulta de unión y, en tal caso, para usarlo para explotar la vulnerabilidad; Es posible excluir las bases de datos del sistema cuando se enumera las tablas, útil cuando se duele de todas las entradas de tablas de bases de datos DBMS y desee omitir los datos DBMS predeterminados; Es posible ver el tiempo estimado de llegada para cada salida de consulta, actualizada en tiempo real mientras realiza el ataque de inyección de SQL; Apoyo para aumentar el nivel de verbosidad de los mensajes de salida; Es posible ahorrar consultas realizadas y su valor recuperado en tiempo real en un archivo de texto de salida y continuar con la inyección que se reanuda desde dicho archivo en una segunda vez; PHP Configuración de la derivación Magic_Quotes_GPC Al codificar cada cadena de consulta, entre comillas simples, con una función específica de DBMS de char (o similar). ¿Qué hay de nuevo en esta versión: Mejora importante para hacer que el algoritmo de comparación funcione correctamente también en la URL que no esté en los establos automáticamente utilizando el objeto COMADERADOR DE SECUENCIA DIFFLIB; Mejora importante para respaldar las declaraciones de definición de datos de SQL, las declaraciones de manipulación de datos SQL, etc., desde el usuario en la consulta SQL y la cubierta de SQL, si la tecnología de la aplicación web es compatible con las consultas apiladas; Aumento de la velocidad mayor en la huella dactilar básica de DBMS; Mejora menor para respaldar una opción (--is-DBA) para mostrar si el usuario actual es un administrador del sistema de administración de bases de datos; Mejora menor para admitir una opción (--un-tech-Tech) para especificar la técnica para usar para detectar el número de columnas utilizadas en la solicitud de selección de la aplicación web: Null BruteForcing (predeterminado) o pedido por la cláusula BruteForcing; Se agregó soporte interno para forjarnos de los estados de casos, utilizados solo por la consulta de IIS-DBA en este momento; Ajuste de diseño menor a la salida -update; Aumento de tiempo de espera predeterminado a 30 segundos; La mejor solución de errores para manejar correctamente las consultas "Limitadas" de SQL personalizadas en Microsoft SQL Server y Oracle; SISTRIGUIENTE DE ERROR MAYOR PARA EVITAR TRACULTOS Cuando se especifican varios objetivos y uno de ellos no es accesible; Solución de errores menor para hacer que la técnica de inyección SQL de la consulta de la Unión parcial funcione correctamente también en Oracle y Microsoft SQL Server; Se corrige la corrección de errores menor para hacer que el funcionamiento de PostFix incluso si no se proporciona .predecix; Documentación actualizada.

sqlmap Software relacionado