Testen Sie Ihre Website auf SQL-Injection-Angriffe und verhindern Sie, dass sie gehackt wird.
SQLi(SQL-Injektion) ist eine alte Technik, bei der der Hacker die bösartige SQL-Anweisungen ausführen, um die Website zu übernehmen. Sie gilt als Besonders schwerwiegende Sicherheitslückenund der jüngste Bericht von Acunetix zeigt, dass 8 % der gescannten Ziele anfällig dafür waren.

Da die SQL-Datenbank (Structured Query Language) von vielen Webplattformen (PHP, WordPress, Joomla, Java usw.) unterstützt wird, kann sie potenziell eine große Anzahl von Websites angreifen. Sie sehen auch, dass Sie unbedingt sicherstellen müssen, dass Ihre Online-Geschäftswebsite nicht für SQLi anfällig ist.
Hinweis: Die Durchführung einer SQL-Injektion erzeugt eine hohe Netzwerkbandbreite und sendet eine Menge Daten. Vergewissern Sie sich auch, dass Sie der Eigentümer der Website sind, die Sie testen.
suIP.biz
Das Programm suIP.biz zumAufspüren von SQL-Injection-Fehlern unterstützt die Datenbanken MySQL, Oracle, PostgreSQL, Microsoft SQL, IBM DB2, Firebird, Sybase, etc.

Mit SQLMap können Sie alle sechs Injektionstechniken testen.
SQL-Einschleusungstest online
Ein weiteres Online-Tool von Hacker-Ziel, das auf SQLMap basiert, um bind- und fehlerbasierte Schwachstellen bei HTTP-GET-Anfragen zu finden.

Invicti
Ein umfassender Web-Sicherheitsscanner für Unternehmen - Invicti bietet mehr als nur den Test auf SQL-Schwachstellen. Sie können es in den SDLC integrieren, um die Web-Sicherheit zu automatisieren.

Sehen Sie sich diese Schwachstellenindex an, der vom Invicti-Scan abgedeckt wird.
Vega
Vega ist eine Open-Source-Sicherheitsscanner-Software, die auf Linux, OS X und Windows installiert werden kann.

Vega ist in Java geschrieben und basiert auf einer grafischen Benutzeroberfläche.
Mit Vega können Sie nicht nur SQLi, sondern auch viele andere Schwachstellen testen, wie z.B.:
- XML /Shell/URL Einspritzung
- Verzeichnisauflistung
- Entfernte Datei-Includes
- XSS
- Und vieles mehr...
Vega sieht vielversprechend aus KOSTENLOS Web-Sicherheitsscanner.
SQLMap
SQLMap ist einer der beliebtesten Open-Source-Testtools zur Durchführung von SQL-Injection gegen ein relationales Datenbankmanagementsystem.

Sqlmap listet Benutzer, Passwörter, Hashes, Rollen, Datenbanken, Tabellen und Spalten auf und unterstützt das vollständige Dumpen von Datenbanktabellen.
SQLMap ist auch unter Kali Linux verfügbar. In dieser Anleitung finden Sie eine Anleitung zur Installation von Kali Linux auf VMWare Fusion.
SQL-Injection-Scanner
Ein Online-Scanner von Pentest-Tools wird mit OWASP ZAP getestet. Es gibt zwei Optionen - Light (KOSTENLOS) und Full (muss registriert werden).

Appspider
Appspider von Rapid7 ist eine dynamische Lösung zum Testen der Anwendungssicherheit, mit der Sie eine Webanwendung auf mehr als 95 Angriffsarten durchsuchen und testen können.

Die einzigartige Die Funktion von Appspider, der Vulnerability Validator, ermöglicht es dem Entwickler, die Sicherheitslücken in Echtzeit zu reproduzieren.
Dies ist praktisch, wenn Sie die Schwachstelle behoben haben und erneut testen möchten, um sicherzustellen, dass das Risiko behoben ist.
Acunetix
Acunetix ist ein unternehmenstauglicher Schwachstellenscanner für Webanwendungen, dem mehr als 4000 Unternehmen weltweit vertrauen. Nicht nur der SQLi-Scan, sondern das Tool ist in der Lage, mehr als 6000 Schwachstellen zu finden.

Jede gefundene Schwachstelle wird mit möglichen Korrekturen klassifiziert, so dass Sie wissen, was zu tun ist, um sie zu beheben. Außerdem können Sie das Tool in das CI/CD-System und den SDLC integrieren, so dass jedes Sicherheitsrisiko erkannt und behoben wird, bevor die Anwendung in die Produktion geht.
Wapiti
Wapiti ist ein pythonbasierter Blackbox-Schwachstellen-Scanner. Er unterstützt eine große Anzahl von Angriffserkennungen.
- SQLi und XPath
- CRLS und XSS
- Shellshock
- Offenlegung von Dateien
- Server-seitige Anforderungsfälschung
- Befehlsausführung
und mehr.
Es unterstützt HTTP/HTTPS-Endpunkte, mehrere Authentifizierungsarten wie Basic, Digest, NTLM und Kerberos. Sie haben die Möglichkeit, Scan-Berichte im HTML-, XML-, JSON- und TXT-Format zu erstellen.
Knapp3r
Knapp3r ist ein leichtgewichtiger, auf Python basierender Scanner, der für Docker geeignet ist.

Er sucht anhand von Headern und URL-Parametern nach potenziellem XSS, SQLi, RCE, SSTI.
Wie geht es weiter?
Die oben genannten Tools testen und informieren Sie darüber, ob Ihre Website eine SQL-Injection-Schwachstelle aufweist. Wenn Sie sich fragen, wie Sie Ihre Website vor SQL-Injection schützen können, dann wird Ihnen das Folgende eine Idee geben.
Eine schlecht programmierte Webanwendung ist oft für SQL-Injection verantwortlich, auch müssen Sie den anfälligen Code korrigieren. Eine andere Möglichkeit ist jedoch, eine WAF (Web Application Firewall) vor der Anwendung zu implementieren.
Es gibt zwei Möglichkeiten, die WAF in Ihre Anwendung zu integrieren.
- Integration der WAF in den Webserver - Sie können eine WAF wie ModSecurity mit Nginx, Apache oder WebKnight mit IIS verwenden. Dies ist möglich, wenn Sie Ihre Website selbst hosten, z.B. in einer Cloud/VPS oder dediziert. Wenn Sie jedoch ein Shared Hosting nutzen, können Sie es dort nicht installieren.
- Verwenden Sie eine Cloud-basierte WAF - der einfachste Weg, Ihre Website zu schützen, ist wahrscheinlich die Implementierung einer Website-Firewall. Das Gute daran ist, dass sie für jede Website funktioniert und Sie sie in weniger als 10 Minuten in Betrieb nehmen können.
Wenn Sie mehr über SQL Injection erfahren möchten, sollten Sie sich die folgenden Ressourcen ansehen.
Sehen Sie sich als nächstes an, wie Sie Sicherheitsrisiken in NoSQL-Datenbanken finden.