SQL İnjection Güvenlik Açıklarını Bulmak için 3 Ücretsiz Test Aracı

SQL İnjection Güvenlik Açıklarını Bulmak için 3 Ücretsiz Test Aracı

SQL İnjection Güvenlik Açıklarını Bulmak için 3 Ücretsiz Test Aracı

SQL injection en yaygın çevrimiçi tehditlerden biridir .

Pentesting araçları – sızma testi araçları – saldırıları simüle etme ve yazılımdaki güvenlik açıklarını bulma işlemini otomatikleştirmeye ve hızlandırmaya yardımcı olur .

SQL İnjection Nedir ?

SQL Injection, veri tabanına dayalı uygulamalara saldırmak için kullanılan bir atak tekniğidir; burada saldırgan SQL dili özelliklerinden faydalanarak standart uygulama ekranındaki ilgili alana yeni SQL ifadelerini ekler. (Örneğin saldırgan, veritabanı içeriğini kendisine aktarabilir).

SQL İnjectionu çoğunlukla kullanıcıdan giriş istediğinde ortaya çıkar ve bilmeden veritabanınızda çalıştırdığınız bir SQL ifadesi girer. 

SQL İnjection Güvenlik Açıklarını Bulma Araçları

1. OWASP ZAP

OWASP Zed Attack Proxy (ZAP) en popüler ücretsiz güvenlik araçlarından biridir. Geliştirme ve test aşamaları sırasında web uygulamalarınızdaki güvenlik açıklarını bulmanıza yardımcı olan ücretsiz ve açık kaynaklı bir yazılımdır. Deneyimli pentestörlerin taleplerini karşılamak için çok sayıda gelişmiş özelliğe sahiptir.

Özellikle web uygulamalarını test etmek için tasarlanmıştır (masaüstü yazılımı veya mobil uygulamaları değil). Ayrıca, Java ile yazılmış kod tabanı sayesinde tüm popüler platformlarda (Docker dahil) çalışır . En ilginç özelliği genişletilebilir ve esnek olmasıdır; özel gereksinimlerini karşılamak için ücretsiz eklentilerini kullanabilirsiniz .

Bununla birlikte, hataları tespit etmeye yardımcı olan bazı özelliklerine bakalım:

  • Belirli bir web sitesinde testleri otomatik olarak başlatmak ve siteyi her türlü güvenlik açığı için test etmek için otomatik tarama seçeneği sunar .
  • Otomasyon yazılımı geliştirmek için başsız moda sahiptir .
  • Neredeyse tüm özelliklerini masaüstünde kontrol etmek için API’lar içerir .

2. w3af

“ Web Uygulama Saldırısı ve Denetim Çerçevesi ” anlamına gelen w3af, web uygulamalarınızı güvenli hale getirmenize yardımcı olmak için oluşturulmuş bir güvenlik test çerçevesidir. Web uygulamalarındaki güvenlik açıklarını tespit etmenize ve bunlardan yararlanmanıza yardımcı olan başka bir ücretsiz ve açık kaynaklı güvenlik açığı tarayıcısıdır. Tıklama krikosu ve SQL enjeksiyonu da dahil olmak üzere 200’den fazla güvenlik açığını algılama yeteneğine sahiptir .

Aşağıdaki gibi ücretsiz bir araç olduğunu görmek harika olan özellik listesini kontrol edelim:

  • Kendi komut dosyası kümesini (her satırda komutları olan metin dosyaları, tıpkı Windows Toplu Komut Dosyaları gibi) kullanarak otomasyonu destekler .
  • Otomasyon aracınızın sonuçları bilmesine yardımcı olmak için çeşitli günlük kaydı türlerini ( konsol, metin dosyaları ve hatta e-posta raporları) destekler.
  • HTTP isteklerinin hemen hemen her bölümüne faydalı yükler enjekte edebilen bir bulanık motoru destekler ; ayarlar sayfasından da özelleştirilebilir.
  • Eklentiler (Python’daki komut dosyaları) yazarak aracı genişletmeyi destekler .

3. sqlmap

Açık kaynaklı penetrasyon test aracı olan sqlmap , SQLi hatalarını bulma ve kullanma işlemini otomatikleştirir . Uzman bir penetrasyon test cihazı için süpersonik özellikler sunan güçlü bir algılama motoru ile birlikte gelir. Ayrıca, veritabanı parmak izinden ve aşırı veri alımından, veritabanının işletim sistemindeki düşük düzeyli dosya sistemine erişmeye kadar çeşitli anahtarlar içerir.

Bu sadece başlangıç. Özellik listesi çok büyük , en iyilerini görelim:

  • IBM DB2, Microsoft Access, Microsoft SQL Server, MySQL, Oracle, PostgreSQL ve SQLite gibi en popüler veritabanlarını destekler .
  • Tüm büyük enjeksiyon tekniklerini destekler: Alt türleri dahil Klasik SQLi (Hata tabanlı SQLi ve Birlik tabanlı SQLi), Alt türleri de dahil olmak üzere Kör SQLi (Boolean tabanlı Kör SQLi ve Zamana Bağlı Kör SQLi), Bant Dışı SQLi ve Yığılmış Sorgular tabanlı SQL enjeksiyonu.
  • Parola karma türlerini tanımayı ve bunları kırmayı destekler .
  • Ayarlarınıza göre iç arama ve döküm tablolarını destekler .
  • Temel işletim sisteminde komutların yürütülmesini ve veritabanı destekleniyorsa standart çıktılarının alınmasını destekler.

Bu, web uygulamalarınızdaki SQL enjeksiyon (SQLi) güvenlik açıklarını tespit etmek ve bulmak için sızma testi araçlarıyla ilgilidir. Web sitelerini test edebileceği ve size savunmasız bağlantılar veya sayfalar hakkında bilgi verebileceği için OWASP ZAP ile başlamanız önerilir . Ardından, SQLi hatalarını tespit etmek için bu bağlantılardaki veya web sayfalarındaki diğer araçları kullanabilirsiniz. Ve son olarak, güvenlik için bu güvenlik açıklarını düzeltmelisiniz.

3 Beğen

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir