srcmini本文概述
测试你的网站是否受到SQL注入攻击, 并防止其被黑客入侵。
SQLi(SQL注入)是一种古老的技术, 黑客可以执行恶意SQL语句来接管网站。它被认为是高严重性漏洞, Acunetix的最新报告显示, 有23%的扫描目标受到此漏洞的攻击。
由于许多Web平台(PHP, WordPress, Joomla等)都支持SQL(结构化查询语言)数据库, 因此它可能会针对大量网站。因此, 你知道, 确保你的在线商业网站不受SQLi攻击非常重要, 以下内容将帮助你查找(如果有)。
注意:执行SQL注入会产生较高的网络带宽并发送大量数据。因此, 请确保你是要测试的网站的所有者。
suIP.biz
通过suIP.biz在线检测SQL注入漏洞, 支持MySQL, Oracle, PostgreSQL, Microsoft SQL, IBM DB2, Firebird, Sybase等数据库。
SQLMap支持它, 因此它将针对所有六种注入技术进行测试。
在线SQL注入测试
Hacker Target的另一个在线工具基于SQLMap来针对HTTP GET请求查找基于绑定和错误的漏洞。
Vega
Vega是一种开源安全扫描程序软件, 可以安装在Linux, OS X和Windows上。
Vega用Java编写, 并且基于GUI。
不只是SQLi, 你还可以使用Vega测试许多其他漏洞, 例如:
- XML / Shell / URL注入
- 目录清单
- 远程文件包括
- XSS
- 以及更多…
Vega看起来很有前途的免费Web安全扫描程序。
SQLMap的
SQLMap是流行的开源测试工具之一, 用于对关系数据库管理系统执行SQL注入。
Sqlmap枚举用户, 密码, 哈希, 角色, 数据库, 表, 列, 以及完全转储数据库表的支持。
如果你使用的是Kali Linux, 则无需安装它也可以在其中使用SQLMap。
Pentest-Tools
Pentest-Tools的在线扫描仪使用OWASP ZAP进行了测试。有两个选项-浅(免费)和完整(需要注册)。
Appspider
Rapid7开发的Appspider是一种动态的应用程序安全测试解决方案, 用于对Web应用程序进行爬网和测试以应对80多种攻击。
Appspider的独特功能称为漏洞验证程序, 使开发人员可以实时重现该漏洞。
当你纠正了漏洞并希望重新测试以确保风险得到修复后, 这将变得很方便。
Acunetix
Acunetix是一款企业级Web应用程序漏洞扫描程序, 受到全球4000多个品牌的信任。不仅是SQLi扫描, 该工具还可以找到6000多个漏洞。
每个发现都按潜在的修复方法进行分类, 因此你知道该怎么做才能修复它。此外, 你可以与CI / CD系统和SDLC集成, 因此在将应用程序部署到生产环境之前, 可以识别并解决所有安全风险。
下一步是什么?
以上工具将进行测试, 并让你知道你的网站是否存在SQL注入漏洞。如果你想知道如何保护你的站点免受SQL注入, 那么以下内容将为你提供一个思路。
编码不良的Web应用程序通常负责SQL注入, 因此你必须修复易受攻击的代码。但是, 你可以做的另一件事是在应用程序前面实现WAF(Web应用程序防火墙)。
有两种将WAF与你的应用程序集成的方法。
- 将WAF集成到Web服务器中–你可以将WAF诸如ModSecurity与Nginx, Apache或WebKnight与IIS一起使用。当你自己托管网站(例如在Cloud / VPS中或专用网站)时, 这将是可能的。但是, 如果你使用共享主机, 则无法在此处安装它。
- 使用基于云的WAF –可能最简单的添加站点保护的方法是实施网站防火墙。好消息是它适用于任何网站, 而且你可以在不到10分钟的时间内启动它。
评论前必须登录!
注册