sqlmap

sqlmap adalah alat otomatis buta SQL injection, dikembangkan di python, mampu menghitung seluruh database jauh, melakukan sidik jari database aktif dan banyak lagi.
Tujuan sqlmap adalah untuk menerapkan alat database yang mapper berfungsi penuh yang mengambil keuntungan dari aplikasi web kelemahan keamanan pemrograman yang menyebabkan kerentanan injeksi SQL

Fitur :.

• Uji stabilitas url terpencil, berdasarkan halaman hash atau tali pertandingan;
• Identifikasi url parameter dinamis;
• Uji numerik, tali (kutipan tunggal dan tanda kutip ganda) SQL injection pada semua url parameter dinamis dan pada awalnya rentan akan digunakan untuk melakukan suntikan SQL masa depan;
• pilihan Kemungkinan metode HTTP untuk pengujian dan mengeksploitasi parameter dinamis, GET atau POST (default: GET);
• Fingerprint database aplikasi web back-end berdasarkan permintaan khusus keluaran yang mengidentifikasi karakteristik database dan banner grabbing;
• HTTP sembarang pilihan sundulan User-Agent;

Header
• HTTP Cookie tersedia, berguna ketika aplikasi web membutuhkan otorisasi berdasarkan cookie dan Anda account;
• Memberikan alamat HTTP anonymous proxy untuk melewati permintaan ke url sasaran;
• Lain parameter baris perintah untuk mendapatkan database banner, menghitung database, tabel, kolom, nilai-nilai sampah, mengambil sebuah isi file sewenang-wenang dan memberikan ekspresi SQL sendiri untuk query database terpencil;
• Pesan keluaran Debug dalam pelaksanaan modus verbose;
• pengaturan magic_quotes_gpc penggelapan oleh pengkodean setiap string kueri, antara tanda kutip tunggal, dengan CHAR (atau serupa) fungsi database PHP.
• pada struktur pohon direktori;
• split lib / common.py: fungsinya injeksi inband sekarang adalah
• pindah ke lib / union.py;
• file dokumentasi Diperbarui.

Apa yang baru dalam rilis ini:

• Versi ini dilengkapi dengan mesin deteksi injeksi SQL benar-benar ditulis ulang dan kuat , kemampuan untuk terhubung langsung ke server database, dukungan untuk berbasis waktu buta SQL injection dan berbasis kesalahan SQL injection, dukungan untuk empat sistem manajemen database baru, dan masih banyak lagi.

Apa yang baru di versi 0.6.4:

• Sebuah peningkatan besar dilaksanakan untuk membuat algoritma perbandingan bekerja dengan baik pada URL yang tidak stabil dengan menggunakan obyek difflib Urutan matcher.
• Sebuah peningkatan besar dilakukan untuk mendukung pernyataan definisi data SQL, laporan manipulasi data SQL, dan lain-lain dari pengguna dalam query SQL dan SQL shell jika query ditumpuk didukung oleh teknologi aplikasi Web.
• Peningkatan kecepatan besar dibuat di DBMS sidik jari dasar.

Apa yang baru di versi 0.6.1:

• A bugfix besar dibuat untuk injeksi SQL buta Algoritma pembelahan untuk menangani pengecualian.
• Sebuah Metasploit Framework 3 modul tambahan ditambahkan untuk menjalankan sqlmap.
• Kemungkinan untuk menguji dan menyuntikkan juga pada pernyataan seperti itu diterapkan.

Apa yang baru di versi 0.6:

• Kode Lengkap refactor dan banyak bug tetap;
• Ditambahkan multithreading dukungan untuk menetapkan jumlah maksimum permintaan HTTP bersamaan;
• Diimplementasikan SQL shell (--sql-shell) fungsi dan query SQL tetap (--sql-query, sebelum disebut e) untuk dapat menjalankan apapun perintah SELECT dan mendapatkan output dalam kedua inband dan serangan injeksi SQL buta ;
• Ditambahkan pilihan (--privileges) untuk mengambil pengguna DBMS hak, juga memberitahukan jika pengguna adalah administrator DBMS;
• Ditambahkan dukungan (c) untuk membaca pilihan dari file konfigurasi, contoh file INI valid sqlmap.conf dan dukungan (--save) untuk menyimpan opsi baris perintah pada file konfigurasi;
• Dibuat fungsi yang update seluruh sqlmap ke versi stabil terbaru yang tersedia dengan menjalankan sqlmap dengan opsi --update;
• Dibuat sqlmap .deb (Debian, Ubuntu, dll) dan .rpm (Fedora, dll) paket binary instalasi;
• Dibuat sqlmap .exe (Windows) portable executable;
• Menyimpan banyak informasi lebih lanjut ke file sesi, berguna ketika melanjutkan injeksi pada target yang sama untuk waktu yang tidak longgar pada identifikasi injeksi, bidang UNION dan DBMS back-end dua kali atau lebih kali;
• Peningkatan pemeriksaan otomatis untuk kurung saat pengujian dan penempaan vektor query SQL;
• Sekarang memeriksa SQL injection pada semua GET / POST / parameter Cookie maka memungkinkan pengguna memilih parameter untuk melakukan injeksi pada kasus yang lebih dari satu adalah injeksi;
• Diimplementasikan dukungan untuk permintaan HTTPS melalui HTTP (S) proksi;
• Ditambahkan cek untuk menangani permintaan keluaran NULL atau tidak tersedia;
• Lebih entropi (randomStr () dan randomInt () fungsi dalam lib / core / common.py) di inband injeksi SQL permintaan bersambung dan di cek DAN kondisi;
• Peningkatan file XML struktur;
• Diimplementasikan kemungkinan untuk mengubah header HTTP Referer;
• Ditambahkan dukungan untuk melanjutkan dari file sesi juga ketika menjalankan dengan serangan injeksi SQL inband;
• Ditambahkan pilihan (--os-shell) untuk menjalankan perintah sistem operasi jika back-end DBMS adalah MySQL, server web memiliki mesin PHP aktif dan izin akses tulis pada direktori dalam dokumen root;
• Ditambahkan cek untuk memastikan bahwa string yang disediakan untuk mencocokkan (--string) adalah dalam konten halaman;
• Tetap berbagai pertanyaan dalam file XML;
• Ditambahkan LIMIT, ORDER BY dan COUNT query ke file XML dan disesuaikan perpustakaan untuk mengurai;
• sandi Tetap mengambil fungsi, terutama untuk Microsoft SQL Server dan Ulasan fungsi hash password parsing;
• bug utama tetap untuk menghindari tracebacks ketika parameter diuji (s) adalah dinamis, tetapi tidak suntik;
• Peningkatan sistem logging: menambahkan tiga tingkat verbositas menunjukkan juga HTTP yang dikirim dan diterima lalu lintas;
• Enhancement untuk menangani Set-Cookie dari target url dan secara otomatis membangun kembali Sesi ketika berakhir;
• Ditambahkan dukungan untuk menyuntikkan juga pada parameter Set-Cookie;
• Diimplementasikan penyelesaian TAB dan sejarah perintah pada kedua --sql-shell dan --os-shell;
• Berganti nama beberapa opsi baris perintah;
• Ditambahkan perpustakaan konversi;
• Ditambahkan kode skema dan pengingat untuk perkembangan masa depan;
• Ditambahkan Copyright komentar dan $ Id $ svn properti untuk semua file Python;
• Diperbarui tata letak baris perintah dan membantu pesan;
• Updated beberapa docstrings;
• file dokumentasi Diperbarui.