SQL-Injection-Testing

Oktober 23, 2017 - Lesezeit: ~1 Minute

Man schreibt ja schon die ein oder andere Webanwendung. Fehler passieren, aber im Falle von Fehlern in der Webanwendung könnte das den ganzen Server, die Datenbank oder Benutzerinformationen bedrohen.

Ein schnelles und einfach einzusetzendes Tool ist das Python-basierte SQLMap. Datenbank und Schnittstellen mal eben schnell auf die gängigen SQL-Injections der Script-Kiddies abklopfen, kein Problem.

Man benötigt nur python auf dem Server.

git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev

Nachdem SQLMap von GitHub geklont wurde reicht der Aufruf:

python sqlmap.py -u https://www.domain.tld/?param=arg --batch --banner

Danach wird die Schnittstelle über den den $_GET-Parameter PARAM auf SQL-Injections geprüft und versucht, die ersten Daten über das verwendete Backend zu ermitteln.

Das ist nur die Spitze des Eisbergs. Die Dokumentation des Tools findet man auf der Seite der Entwickler.

Meiner Meinung nach ein heftiges Werkzeug.

Nutzung auf eigene Gefahr.

Und dass nur eigene Anwendungen gecheckt werden dürfen, versteht sich hoffentlich von selbst.