2022 年最佳 SQL 注入检测工具

说实话:在 2 02 2 年选择 SQL 注入检测工具将会很困难。
我们来介绍一些比较流行的。

Netsparker,一种 Web 漏洞管理解决方案。
主要目的是测试SQLi,同时也测试其他漏洞。
其伟大之处在于它具有高度可扩展性,可以自动运行,并且可以与其他系统集成。
我去年用这个来测试我的系统,它确实为我省去了很多麻烦。

SQLMap,该工具自动测试 SQLi 并检索您的数据库。
里面是一个检测引擎和渗透测试工具。
您可以使用它来识别数据库是什么、检索数据、操作底层文件系统以及执行系统命令。
非常强大,但是你需要了解一些技巧才能使用它。

BurpSuite 是一个用于 Web 应用程序安全测试的通用平台。
该公司的漏洞扫描器使用 PortSwigger 的发现,可以自动发现 Web 应用程序中的各种漏洞,包括 SQL 注入。
我的一个同事经常使用这个,实际上发现了很多问题。

jSQLInjection,一个用Java编写的工具。
它主要帮助 IT 团队查找远程服务器上的数据库信息。
适合懂Java的人。

Havizi,它有图形界面,非常容易使用。
支持多种 SQLi 技术。
小白用着还可以。

BBQSQL,用 Python 编写。
简化复杂 SQL 注入的处理。
适合熟悉Python的渗透测试人员。

Blisqy 和 BlindSQLInjectionviaBitShifting。
两者都是盲注工具。
这是利用位移法进行SQL盲注入。
适合某些场景。

Acunetix,这是一个漏洞扫描器。
它主要识别常见的 Web 服务器配置问题,特别适合 WordPress 等 CMS。
有一次我测试了一个 WordPress 网站,我实际上发现了一些配置问题。

DamnSmallSQLiScanner,这个工具比较小,是由SQLMap的创建者之一开发的。
它是专门为测试SQL注入而设计的,适合快速扫描。

利维坦,这是一个多功能的安全工具。
这包括服务发现、暴力破解、SQL 注入检测以及执行自定义漏洞利用的能力。
它有相当多的功能。

NoSQLMap,专为审计NoSQL数据库而设计。
它可以检测NoSQL数据库默认配置中的漏洞,还可以从数据库中检索或复制数据。
NoSQL现在很流行,这个工具非常实用。

TyrantSQL 和 Whitewidow。
两种GUI SQL注入它是一个用 Python 编写的工具和开源扫描器。
它提供了多种SQL注入语法和自动化功能,使其非常易于使用。

不管怎样,这些工具都有各自的特点。
您测试哪个系统取决于您的具体情况。
一种工具可能不起作用,因此您应该一起测试多种工具以获得最佳结果。

Bugku-CTF-成绩查询(SQL注入)

抓包找到POST请求参数,保存为1 .txt。
确保 SQLmap 已安装,使用 pip install sqlmap 进行安装。
使用 SQLmap 来识别数据库类型。
使用 --dbs 列出所有数据库并查找 skctf。
使用--tables列出skctf数据库的表并找到fl4 g。
使用--columns列出fl4 g表的字段并找到skctf_flag。
使用--dump获取skctf_flag的内容并获取flag。
你自己掂量一下吧。