smm panel

Banner 1
  • Ana Sayfa
  • SQL
  • SQL İnjection Güvenlik Açıklarını Bulmak için 3 Ücretsiz Test Aracı

SQL İnjection Güvenlik Açıklarını Bulmak için 3 Ücretsiz Test Aracı

5 dakika okuma süresi
0
wsds

SQL injection en yaygın çevrimiçi tehditlerden biridir .

Pentesting araçları – sızma testi araçları – saldırıları simüle etme ve yazılımdaki güvenlik açıklarını bulma işlemini otomatikleştirmeye ve hızlandırmaya yardımcı olur .

İçindekiler Gizle
1. SQL İnjection Nedir ?
2. SQL İnjection Güvenlik Açıklarını Bulma Araçları
3. 1. OWASP ZAP
4. 2. w3af
5. 3. sqlmap

SQL İnjection Nedir ?

SQL Injection, veri tabanına dayalı uygulamalara saldırmak için kullanılan bir atak tekniğidir; burada saldırgan SQL dili özelliklerinden faydalanarak standart uygulama ekranındaki ilgili alana yeni SQL ifadelerini ekler. (Örneğin saldırgan, veritabanı içeriğini kendisine aktarabilir).

SQL İnjectionu çoğunlukla kullanıcıdan giriş istediğinde ortaya çıkar ve bilmeden veritabanınızda çalıştırdığınız bir SQL ifadesi girer. 

SQL İnjection Güvenlik Açıklarını Bulma Araçları

1. OWASP ZAP

OWASP Zed Attack Proxy (ZAP) en popüler ücretsiz güvenlik araçlarından biridir. Geliştirme ve test aşamaları sırasında web uygulamalarınızdaki güvenlik açıklarını bulmanıza yardımcı olan ücretsiz ve açık kaynaklı bir yazılımdır. Deneyimli pentestörlerin taleplerini karşılamak için çok sayıda gelişmiş özelliğe sahiptir.

Özellikle web uygulamalarını test etmek için tasarlanmıştır (masaüstü yazılımı veya mobil uygulamaları değil). Ayrıca, Java ile yazılmış kod tabanı sayesinde tüm popüler platformlarda (Docker dahil) çalışır . En ilginç özelliği genişletilebilir ve esnek olmasıdır; özel gereksinimlerini karşılamak için ücretsiz eklentilerini kullanabilirsiniz .

Bu Yazımızda Okuyun :   SQL Serverde Dizin İşlem İstatistiklerini Bulma

Bununla birlikte, hataları tespit etmeye yardımcı olan bazı özelliklerine bakalım:

  • Belirli bir web sitesinde testleri otomatik olarak başlatmak ve siteyi her türlü güvenlik açığı için test etmek için otomatik tarama seçeneği sunar .
  • Otomasyon yazılımı geliştirmek için başsız moda sahiptir .
  • Neredeyse tüm özelliklerini masaüstünde kontrol etmek için API’lar içerir .

2. w3af

“ Web Uygulama Saldırısı ve Denetim Çerçevesi ” anlamına gelen w3af, web uygulamalarınızı güvenli hale getirmenize yardımcı olmak için oluşturulmuş bir güvenlik test çerçevesidir. Web uygulamalarındaki güvenlik açıklarını tespit etmenize ve bunlardan yararlanmanıza yardımcı olan başka bir ücretsiz ve açık kaynaklı güvenlik açığı tarayıcısıdır. Tıklama krikosu ve SQL enjeksiyonu da dahil olmak üzere 200’den fazla güvenlik açığını algılama yeteneğine sahiptir .

Aşağıdaki gibi ücretsiz bir araç olduğunu görmek harika olan özellik listesini kontrol edelim:

  • Kendi komut dosyası kümesini (her satırda komutları olan metin dosyaları, tıpkı Windows Toplu Komut Dosyaları gibi) kullanarak otomasyonu destekler .
  • Otomasyon aracınızın sonuçları bilmesine yardımcı olmak için çeşitli günlük kaydı türlerini ( konsol, metin dosyaları ve hatta e-posta raporları) destekler.
  • HTTP isteklerinin hemen hemen her bölümüne faydalı yükler enjekte edebilen bir bulanık motoru destekler ; ayarlar sayfasından da özelleştirilebilir.
  • Eklentiler (Python’daki komut dosyaları) yazarak aracı genişletmeyi destekler .
Bu Yazımızda Okuyun :   Kullandığım ve Önerdiğim SQL SERVER Araçları

3. sqlmap

Açık kaynaklı penetrasyon test aracı olan sqlmap , SQLi hatalarını bulma ve kullanma işlemini otomatikleştirir . Uzman bir penetrasyon test cihazı için süpersonik özellikler sunan güçlü bir algılama motoru ile birlikte gelir. Ayrıca, veritabanı parmak izinden ve aşırı veri alımından, veritabanının işletim sistemindeki düşük düzeyli dosya sistemine erişmeye kadar çeşitli anahtarlar içerir.

Bu sadece başlangıç. Özellik listesi çok büyük , en iyilerini görelim:

  • IBM DB2, Microsoft Access, Microsoft SQL Server, MySQL, Oracle, PostgreSQL ve SQLite gibi en popüler veritabanlarını destekler .
  • Tüm büyük enjeksiyon tekniklerini destekler: Alt türleri dahil Klasik SQLi (Hata tabanlı SQLi ve Birlik tabanlı SQLi), Alt türleri de dahil olmak üzere Kör SQLi (Boolean tabanlı Kör SQLi ve Zamana Bağlı Kör SQLi), Bant Dışı SQLi ve Yığılmış Sorgular tabanlı SQL enjeksiyonu.
  • Parola karma türlerini tanımayı ve bunları kırmayı destekler .
  • Ayarlarınıza göre iç arama ve döküm tablolarını destekler .
  • Temel işletim sisteminde komutların yürütülmesini ve veritabanı destekleniyorsa standart çıktılarının alınmasını destekler.
Bu Yazımızda Okuyun :   SQL Serverde Açık İşlemler Nasıl Bulunur ?

Bu, web uygulamalarınızdaki SQL enjeksiyon (SQLi) güvenlik açıklarını tespit etmek ve bulmak için sızma testi araçlarıyla ilgilidir. Web sitelerini test edebileceği ve size savunmasız bağlantılar veya sayfalar hakkında bilgi verebileceği için OWASP ZAP ile başlamanız önerilir . Ardından, SQLi hatalarını tespit etmek için bu bağlantılardaki veya web sayfalarındaki diğer araçları kullanabilirsiniz. Ve son olarak, güvenlik için bu güvenlik açıklarını düzeltmelisiniz.

Etiketler:
YORUMLARA GİT (0)
E-bültene Abone Ol Merak etmeyin. Spam yapmayacağız.

Yazar

Teknobu

İlgili Yazılar

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Hızlı yorum için giriş yapın.

meritking meritking giriş kingroyal meritking güncel giriş madridbet güncel giriş
grandpashabet grandpashabet giriş cratosroyalbet betwoon
deneme bonusu veren siteler
deneme bonusu veren siteler

Giriş Yap

Şifrenizi mi unuttunuz?