SQL-Injection-Testing - wenn es schnell gehen muss

Montag, 23. Oktober 2017 - 00:18 Uhr  |  Kategorie: Security  |  Kommentare (0)

Man schreibt ja schon die ein oder andere Webanwendung.
Fehler passieren, aber im Falle von Fehlern in der Webanwendung könnte das den ganzen Server, die Datenbank oder Benutzerinformationen bedrohen.

Ein schnelles und einfach einzusetzendes Tool ist das Python-basierte SQLMap.
Datenbank und Schnittstellen mal eben schnell auf die gängigen SQL-Injections der Script-Kiddies abklopfen, kein Problem.

Man benötigt nur python auf dem Server.

git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev

Nachdem SQLMap von GitHub geklont wurde reicht der Aufruf:

python sqlmap.py -u https://www.domain.tld/?param=arg --batch --banner

Danach wird die Schnittstelle über den den $_GET-Parameter PARAM auf SQL-Injections geprüft und versucht, die ersten Daten über das verwendete Backend zu ermitteln.

Das ist nur die Spitze des Eisbergs. Die Dokumentation des Tools findet man auf der Hersteller-Seite.

Meiner Meinung nach ein heftiges Werkzeug.

Nutzung auf eigene Gefahr. Und dass nur eigene Anwendungen gecheckt werden dürfen, versteht sich hoffentlich von selbst.


[Quellen]

Kommentar schreiben


Zurück zur Übersicht

Gravatar-Profilbild

SANDRO WIENBERG

Hier schreibe ich über alles, was mir in meinem Alltag über den Weg läuft...

Als IT-Systemadministrator in einem mittelständischen Unternehmen und als technikaffiner Mensch in der Freizeit, gibt es häufig Themen, Probleme oder Interessantes worüber ich einfach schreiben möchte..

Profil auf www.geocaching.com

2018


2017


2016


2015


2014


2013

Top