Testen Sie Ihre Website auf SQL-Injection-Angriffe und verhindern Sie, dass sie gehackt werden.

SQLi (SQL Injection) ist eine alte Technik, bei der Hacker das ausführen böswillige SQL-Anweisungen die Website übernehmen. Es gilt als Sicherheitslücke mit hohem Schweregradund der neueste Bericht von Acunetix zeigt 8% des gescannten Ziels war davon verwundbar.

Da die SQL-Datenbank (Structured Query Language) von vielen Webplattformen (PHP, WordPress, Joomla, Java usw.) unterstützt wird, könnte dies möglich sein potenziell auf eine große Anzahl von Websites abzielen. Sie sehen also, es ist wichtig sicherzustellen, dass Ihre Online-Business-Website nicht für SQLi anfällig ist. Im Folgenden finden Sie Informationen, falls vorhanden.

Hinweis: Durch die SQL-Injection wird eine hohe Netzwerkbandbreite generiert und viele Daten gesendet. Stellen Sie also sicher, dass Sie der Eigentümer der Website sind, die Sie testen.

suIP.biz

Online-Erkennung von SQL Injection-Fehlern von suIP.biz unterstützt die Datenbank MySQL, Oracle, PostgreSQL, Microsoft SQL, IBM DB2, Firebird, Sybase usw.

SQLMap unterstützt es, sodass es gegen alle sechs Injektionstechniken getestet werden kann.

SQL Injection Test Online

Ein weiteres Online-Tool von Hacker-Ziel basierend auf SQLMap zu finden binden & Fehler basierte Sicherheitsanfälligkeit gegen HTTP-GET-Anforderung.

Invicti

Ein unternehmensfähiger umfassender Web-Sicherheitsscanner - Invicti führt mehr als nur den SQL-Schwachstellentest durch. Sie können SDLC integrieren, um die Websicherheit zu automatisieren.

Netsparker Vollbild

Check out this Schwachstellenindex, die vom Invicti-Scan abgedeckt wird.

Vega

Vega ist eine Open-Source-Sicherheitsscanner-Software, die unter Linux, OS X und Windows installiert werden kann.

Vega ist in Java geschrieben und basiert auf einer GUI.

Nicht nur SQLi, Sie können Vega jedoch verwenden, um viele andere Sicherheitslücken zu testen, z.

  • XML / Shell / URL-Injection
  • Verzeichnisliste
  • Remote-Datei enthält
  • XSS
  • Und vieles mehr ...

Vega sieht vielversprechend aus KOSTENLOS Web-Sicherheitsscanner.

SQLMap

SQLMap ist einer der beliebtesten Open-Source Testen von Tools zum Durchführen einer SQL-Injection für ein relationales Datenbankverwaltungssystem.

Sqlmap listet Benutzer, Kennwörter, Hashes, Rollen, Datenbanken, Tabellen, Spalten und Unterstützung auf, um Datenbanktabellen vollständig zu sichern.

SQLMap ist auch unter Kali Linux verfügbar. Sie können sich auf diese Anleitung beziehen Installieren Sie Kali Linux auf VMWare Fusion.

SQL Injection Scanner

An Online-Scanner von Pentest-Tools Test mit OWASP ZAP. Es gibt zwei Optionen - leicht (KOSTENLOS) und voll (muss registriert werden).

Appspider

Appspider by Rapid7 ist eine dynamische Lösung zum Testen der Anwendungssicherheit zum Crawlen und Testen einer Webanwendung für mehr als 95 Angriffsarten.

Die einzigartige Mit der von Appspider als Vulnerability Validator bezeichneten Funktion kann der Entwickler die Schwachstelle in Echtzeit reproduzieren.

Dies ist praktisch, wenn Sie die Sicherheitsanfälligkeit behoben haben und erneut testen möchten, um sicherzustellen, dass das Risiko behoben ist.

Acunetix

Acunetix ist ein unternehmensfähiger Schwachstellenscanner für Webanwendungen, dem mehr als 4000 Marken weltweit vertrauen. Nicht nur der SQLi-Scan, sondern das Tool kann mehr als 6000 Sicherheitslücken finden.

Jeder Befund wird mit potenziellen Korrekturen klassifiziert, sodass Sie wissen, wie Sie ihn beheben können. Darüber hinaus können Sie das CI / CD-System und SDLC integrieren, sodass jedes Sicherheitsrisiko identifiziert und behoben wird, bevor die Anwendung für die Produktion bereitgestellt wird.

Wapiti

Wapiti ist ein Python-basierter Black-Box-Schwachstellenscanner. Es unterstützt eine große Anzahl von Angriffserkennungen.

  • SQLi und XPath
  • CRLS und XSS
  • Neurose
  • Offenlegung von Dateien
  • Fälschung von serverseitigen Anforderungen
  • Befehlsausführung

und mehr ..

Es unterstützt HTTP / HTTPS-Endpunkte sowie mehrere Authentifizierungstypen wie Basic, Digest, NTLM und Kerberos. Sie haben die Möglichkeit, Scanberichte im HTML-, XML-, JSON- und TXT-Format zu erstellen.

Scant3r

Ein Hafenarbeiter bereit, knapp3r ist ein leichter Scanner, der auf Python basiert.

Es sucht nach potenziellen XSS, SQLi, RCE, SSTI aus Headern und URL-Parametern.

Was kommt als nächstes?

Mit den oben genannten Tools wird getestet, ob Ihre Website eine SQL-Injection-Sicherheitsanfälligkeit aufweist. Wenn Sie sich fragen, wie es geht Schützen Sie Ihre Site vor SQL-InjectionDann gibt Ihnen das Folgende eine Idee.

Die schlecht codierte Webanwendung ist häufig für die SQL-Injection verantwortlich, sodass Sie den anfälligen Code reparieren müssen. Sie können jedoch auch das implementieren WAF (Webanwendungs-Firewall) vor der Anwendung.

Es gibt zwei möglich Möglichkeiten zur Integration von WAF in Ihre Anwendung.

  • Integrieren Sie WAF in den Webserver - Sie können WAF wie ModSecurity mit verwenden Nginx, Apache oder WebKnight mit IIS. Dies ist möglich, wenn Sie Ihre Website selbst hosten, z. B. in Cloud / VPS oder dediziert. Wenn Sie jedoch Shared Hosting verwenden, können Sie es dort nicht installieren.
  • Verwenden Sie Cloud-basiertes WAF - Der wahrscheinlich einfachste Weg, den Site-Schutz hinzuzufügen, ist die Implementierung von Website-Firewall. Das Gute ist, dass es für jede Website funktioniert und Sie es in starten können weniger als 10 Minuten.

Wenn Sie neugierig auf SQL Injection sind, lesen Sie die folgenden Ressourcen.

YouTube-Video

Als nächstes lesen Sie, wie es geht Finden Sie Sicherheitsrisiken in NoSQL-Datenbanken.