Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
Teilen:

Wie finde ich Sicherheitslücken in SQL Injection Attack?

SQL-Injektion
Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Testen Sie Ihre Website auf SQL-Injection-Angriffe und verhindern Sie, dass sie gehackt werden.

SQLi (SQL Injection) ist eine alte Technik, bei der Hacker das ausführen böswillige SQL-Anweisungen die Website übernehmen. Es gilt als Sicherheitslücke mit hohem Schweregradund der neueste Bericht von Acunetix zeigt 8% des gescannten Ziels war davon verwundbar.

acunetix-web-vul-bericht

Da die SQL-Datenbank (Structured Query Language) von vielen Webplattformen (PHP, WordPress, Joomla, Java usw.) unterstützt wird, könnte dies möglich sein potenziell auf eine große Anzahl von Websites abzielen. Sie sehen also, es ist wichtig sicherzustellen, dass Ihre Online-Business-Website nicht für SQLi anfällig ist. Im Folgenden finden Sie Informationen, falls vorhanden.

Hinweis: Durch die SQL-Injection wird eine hohe Netzwerkbandbreite generiert und viele Daten gesendet. Stellen Sie also sicher, dass Sie der Eigentümer der Website sind, die Sie testen.

suIP.biz

Online-Erkennung von SQL Injection-Fehlern von suIP.biz unterstützt die Datenbank MySQL, Oracle, PostgreSQL, Microsoft SQL, IBM DB2, Firebird, Sybase usw.

super

SQLMap unterstützt es, sodass es gegen alle sechs Injektionstechniken getestet werden kann.

SQL Injection Test Online

Ein weiteres Online-Tool von Hacker-Ziel basierend auf SQLMap zu finden binden & Fehler basierte Sicherheitsanfälligkeit gegen HTTP-GET-Anforderung.

Hacker-Ziel

Invicti

Ein unternehmensfähiger umfassender Web-Sicherheitsscanner - Invicti führt mehr als nur den SQL-Schwachstellentest durch. Sie können SDLC integrieren, um die Websicherheit zu automatisieren.

Netsparker Vollbild

Check out this Schwachstellenindex, die vom Invicti-Scan abgedeckt wird.

Vega

Vega ist eine Open-Source-Sicherheitsscanner-Software, die unter Linux, OS X und Windows installiert werden kann.

vega

Vega ist in Java geschrieben und basiert auf einer GUI.

Nicht nur SQLi, Sie können Vega jedoch verwenden, um viele andere Sicherheitslücken zu testen, z.

  • XML / Shell / URL-Injection
  • Verzeichnisliste
  • Remote-Datei enthält
  • XSS
  • Und vieles mehr ...

Vega sieht vielversprechend aus KOSTENLOSE Web-Sicherheitsscanner.

SQLMap

SQLMap ist einer der beliebtesten Open-Source Testen von Tools zum Durchführen einer SQL-Injection für ein relationales Datenbankverwaltungssystem.

sqlmap

Sqlmap listet Benutzer, Kennwörter, Hashes, Rollen, Datenbanken, Tabellen, Spalten und Unterstützung auf, um Datenbanktabellen vollständig zu sichern.

SQLMap ist auch unter Kali Linux verfügbar. Sie können sich auf diese Anleitung beziehen Installieren Sie Kali Linux auf VMWare Fusion.

SQL Injection Scanner

An Online-Scanner von Pentest-Tools Test mit OWASP ZAP. Es gibt zwei Optionen - leicht (KOSTENLOS) und voll (muss registriert werden).

SQL-Injection-Scanner

Appspider

Appspider by Rapid7 ist eine dynamische Lösung zum Testen der Anwendungssicherheit zum Crawlen und Testen einer Webanwendung für mehr als 95 Angriffsarten.

Appspider

Die einzigartige Mit der von Appspider als Vulnerability Validator bezeichneten Funktion kann der Entwickler die Schwachstelle in Echtzeit reproduzieren.

Dies ist praktisch, wenn Sie die Sicherheitsanfälligkeit behoben haben und erneut testen möchten, um sicherzustellen, dass das Risiko behoben ist.

Acunetix

Acunetix ist ein unternehmensfähiger Schwachstellenscanner für Webanwendungen, dem mehr als 4000 Marken weltweit vertrauen. Nicht nur der SQLi-Scan, sondern das Tool kann mehr als 6000 Sicherheitslücken finden.

acunetix-sql-scan

Jeder Befund wird mit potenziellen Korrekturen klassifiziert, sodass Sie wissen, wie Sie ihn beheben können. Darüber hinaus können Sie das CI / CD-System und SDLC integrieren, sodass jedes Sicherheitsrisiko identifiziert und behoben wird, bevor die Anwendung für die Produktion bereitgestellt wird.

Wapiti

Wapiti ist ein Python-basierter Black-Box-Schwachstellenscanner. Es unterstützt eine große Anzahl von Angriffserkennungen.

  • SQLi und XPath
  • CRLS und XSS
  • Neurose
  • Offenlegung von Dateien
  • Fälschung von serverseitigen Anforderungen
  • Befehlsausführung

und mehr ..

Es unterstützt HTTP / HTTPS-Endpunkte sowie mehrere Authentifizierungstypen wie Basic, Digest, NTLM und Kerberos. Sie haben die Möglichkeit, Scanberichte im HTML-, XML-, JSON- und TXT-Format zu erstellen.

Scant3r

Ein Hafenarbeiter bereit, knapp3r ist ein leichter Scanner, der auf Python basiert.

scant3r-demo

Es sucht nach potenziellen XSS, SQLi, RCE, SSTI aus Headern und URL-Parametern.

Was kommt als nächstes?

Mit den oben genannten Tools wird getestet, ob Ihre Website eine SQL-Injection-Sicherheitsanfälligkeit aufweist. Wenn Sie sich fragen, wie es geht Schützen Sie Ihre Site vor SQL-InjectionDann gibt Ihnen das Folgende eine Idee.

Die schlecht codierte Webanwendung ist häufig für die SQL-Injection verantwortlich, sodass Sie den anfälligen Code reparieren müssen. Sie können jedoch auch das implementieren WAF (Webanwendungs-Firewall) vor der Anwendung.

Es gibt zwei möglich Möglichkeiten zur Integration von WAF in Ihre Anwendung.

  • Integrieren Sie WAF in den Webserver - Sie können WAF wie ModSecurity mit verwenden Nginx, Apache oder WebKnight mit IIS. Dies ist möglich, wenn Sie Ihre Website selbst hosten, z. B. in Cloud / VPS oder dediziert. Wenn Sie jedoch Shared Hosting verwenden, können Sie es dort nicht installieren.
  • Verwenden Sie Cloud-basiertes WAF - Der wahrscheinlich einfachste Weg, den Site-Schutz hinzuzufügen, ist die Implementierung von Website-Firewall. Das Gute ist, dass es für jede Website funktioniert und Sie es in starten können weniger als 10 Minuten.

Wenn Sie neugierig auf SQL Injection sind, lesen Sie die folgenden Ressourcen.

YouTube-Video

Als nächstes lesen Sie, wie es geht Finden Sie Sicherheitsrisiken in NoSQL-Datenbanken.

Danke an unsere Sponsoren
Weitere großartige Lektüre zum Thema Sicherheit
Treiben Sie Ihr Geschäft an
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder