Geekflare
Geekflare wird von unserem Publikum unterstützt. Es kann sein, dass wir durch den Kauf von Links auf dieser Seite Affiliate-Provisionen verdienen.
Unter Sicherheit  |  Zuletzt aktualisiert: September 23, 2023
Weitergeben:
Invicti Web Application Security Scanner - die einzige Lösung, die eine automatische Überprüfung von Schwachstellen mit Proof-Based Scanning™ ermöglicht.

Wie findet man Schwachstellen für SQL-Injection-Angriffe?

Unter
sql-injection

Testen Sie Ihre Website auf SQL-Injection-Angriffe und verhindern Sie, dass sie gehackt wird.

SQLi(SQL-Injektion) ist eine alte Technik, bei der der Hacker die bösartige SQL-Anweisungen ausführen, um die Website zu übernehmen. Sie gilt als Besonders schwerwiegende Sicherheitslückenund der jüngste Bericht von Acunetix zeigt, dass 8 % der gescannten Ziele anfällig dafür waren.

acunetix-web-vul-Bericht

Da die SQL-Datenbank (Structured Query Language) von vielen Webplattformen (PHP, WordPress, Joomla, Java usw.) unterstützt wird, kann sie potenziell eine große Anzahl von Websites angreifen. Sie sehen auch, dass Sie unbedingt sicherstellen müssen, dass Ihre Online-Geschäftswebsite nicht für SQLi anfällig ist.

Hinweis: Die Durchführung einer SQL-Injektion erzeugt eine hohe Netzwerkbandbreite und sendet eine Menge Daten. Vergewissern Sie sich auch, dass Sie der Eigentümer der Website sind, die Sie testen.

suIP.biz

Das Programm suIP.biz zumAufspüren von SQL-Injection-Fehlern unterstützt die Datenbanken MySQL, Oracle, PostgreSQL, Microsoft SQL, IBM DB2, Firebird, Sybase, etc.

suip

Mit SQLMap können Sie alle sechs Injektionstechniken testen.

SQL-Einschleusungstest online

Ein weiteres Online-Tool von Hacker-Ziel, das auf SQLMap basiert, um bind- und fehlerbasierte Schwachstellen bei HTTP-GET-Anfragen zu finden.

Hacker-Ziel

Invicti

Ein umfassender Web-Sicherheitsscanner für Unternehmen - Invicti bietet mehr als nur den Test auf SQL-Schwachstellen. Sie können es in den SDLC integrieren, um die Web-Sicherheit zu automatisieren.

netsparker Vollbild

Sehen Sie sich diese Schwachstellenindex an, der vom Invicti-Scan abgedeckt wird.

Vega

Vega ist eine Open-Source-Sicherheitsscanner-Software, die auf Linux, OS X und Windows installiert werden kann.

vega

Vega ist in Java geschrieben und basiert auf einer grafischen Benutzeroberfläche.

Mit Vega können Sie nicht nur SQLi, sondern auch viele andere Schwachstellen testen, wie z.B.:

  • XML /Shell/URL Einspritzung
  • Verzeichnisauflistung
  • Entfernte Datei-Includes
  • XSS
  • Und vieles mehr...

Vega sieht vielversprechend aus KOSTENLOS Web-Sicherheitsscanner.

SQLMap

SQLMap ist einer der beliebtesten Open-Source-Testtools zur Durchführung von SQL-Injection gegen ein relationales Datenbankmanagementsystem.

sqlmap

Sqlmap listet Benutzer, Passwörter, Hashes, Rollen, Datenbanken, Tabellen und Spalten auf und unterstützt das vollständige Dumpen von Datenbanktabellen.

SQLMap ist auch unter Kali Linux verfügbar. In dieser Anleitung finden Sie eine Anleitung zur Installation von Kali Linux auf VMWare Fusion.

SQL-Injection-Scanner

Ein Online-Scanner von Pentest-Tools wird mit OWASP ZAP getestet. Es gibt zwei Optionen - Light (KOSTENLOS) und Full (muss registriert werden).

sql-injection-scanner

Appspider

Appspider von Rapid7 ist eine dynamische Lösung zum Testen der Anwendungssicherheit, mit der Sie eine Webanwendung auf mehr als 95 Angriffsarten durchsuchen und testen können.

appspider

Die einzigartige Die Funktion von Appspider, der Vulnerability Validator, ermöglicht es dem Entwickler, die Sicherheitslücken in Echtzeit zu reproduzieren.

Dies ist praktisch, wenn Sie die Schwachstelle behoben haben und erneut testen möchten, um sicherzustellen, dass das Risiko behoben ist.

Acunetix

Acunetix ist ein unternehmenstauglicher Schwachstellenscanner für Webanwendungen, dem mehr als 4000 Unternehmen weltweit vertrauen. Nicht nur der SQLi-Scan, sondern das Tool ist in der Lage, mehr als 6000 Schwachstellen zu finden.

acunetix-sql-scan

Jede gefundene Schwachstelle wird mit möglichen Korrekturen klassifiziert, so dass Sie wissen, was zu tun ist, um sie zu beheben. Außerdem können Sie das Tool in das CI/CD-System und den SDLC integrieren, so dass jedes Sicherheitsrisiko erkannt und behoben wird, bevor die Anwendung in die Produktion geht.

Wapiti

Wapiti ist ein pythonbasierter Blackbox-Schwachstellen-Scanner. Er unterstützt eine große Anzahl von Angriffserkennungen.

  • SQLi und XPath
  • CRLS und XSS
  • Shellshock
  • Offenlegung von Dateien
  • Server-seitige Anforderungsfälschung
  • Befehlsausführung

und mehr.

Es unterstützt HTTP/HTTPS-Endpunkte, mehrere Authentifizierungsarten wie Basic, Digest, NTLM und Kerberos. Sie haben die Möglichkeit, Scan-Berichte im HTML-, XML-, JSON- und TXT-Format zu erstellen.

Knapp3r

Knapp3r ist ein leichtgewichtiger, auf Python basierender Scanner, der für Docker geeignet ist.

scant3r-demo

Er sucht anhand von Headern und URL-Parametern nach potenziellem XSS, SQLi, RCE, SSTI.

Wie geht es weiter?

Die oben genannten Tools testen und informieren Sie darüber, ob Ihre Website eine SQL-Injection-Schwachstelle aufweist. Wenn Sie sich fragen, wie Sie Ihre Website vor SQL-Injection schützen können, dann wird Ihnen das Folgende eine Idee geben.

Eine schlecht programmierte Webanwendung ist oft für SQL-Injection verantwortlich, auch müssen Sie den anfälligen Code korrigieren. Eine andere Möglichkeit ist jedoch, eine WAF (Web Application Firewall) vor der Anwendung zu implementieren.

Es gibt zwei Möglichkeiten, die WAF in Ihre Anwendung zu integrieren.

  • Integration der WAF in den Webserver - Sie können eine WAF wie ModSecurity mit Nginx, Apache oder WebKnight mit IIS verwenden. Dies ist möglich, wenn Sie Ihre Website selbst hosten, z.B. in einer Cloud/VPS oder dediziert. Wenn Sie jedoch ein Shared Hosting nutzen, können Sie es dort nicht installieren.
  • Verwenden Sie eine Cloud-basierte WAF - der einfachste Weg, Ihre Website zu schützen, ist wahrscheinlich die Implementierung einer Website-Firewall. Das Gute daran ist, dass sie für jede Website funktioniert und Sie sie in weniger als 10 Minuten in Betrieb nehmen können.

Wenn Sie mehr über SQL Injection erfahren möchten, sollten Sie sich die folgenden Ressourcen ansehen.

YouTube Video

Sehen Sie sich als nächstes an, wie Sie Sicherheitsrisiken in NoSQL-Datenbanken finden.

  • Chandan Kumar
    Autor
    Chandan Kumar ist der Gründer von Geekflare. Er hat Millionen von Menschen geholfen, sich im digitalen Bereich zu verbessern. Er hat eine Leidenschaft für Technologie und ist auf einer Mission, die Welt zu erforschen und das Wachstum von Fachleuten und Unternehmen zu steigern.
Dank an unsere Sponsoren
Weitere gute Lektüre zum Thema Sicherheit
Energie für Ihr Unternehmen
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti
    Invicti nutzt das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu überprüfen und innerhalb weniger Stunden verwertbare Ergebnisse zu erzielen.
    Versuchen Sie Invicti
  • Brightdata
    Web Scraping, Residential Proxy, Proxy Manager, Web Unlocker, Search Engine Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie Brightdata
  • Montag.com
    Monday.com ist ein All-in-One-Betriebssystem, mit dem Sie Projekte, Aufgaben, Arbeit, Vertrieb, CRM, Arbeitsabläufe und vieles mehr verwalten können.
    Versuch Montag
  • Eindringling
    Intruder ist ein Online-Schwachstellen-Scanner, der Schwachstellen in Ihrer Infrastruktur aufspürt, um kostspielige Datenschutzverletzungen zu vermeiden.
    Versuchen Sie Intruder