寻找一个在线SQL注入工具检查器

时间:2011-03-21 09:28:05

标签: php web-services sql-injection

我恢复了一个充满sql注入的旧网站,我需要一个工具,如果它存在,只需通过以下现有链接抓取整个网站,然后尝试将一些sql注入内容放入弱输入。< / p>

我可以自己检查,但网站相当大,所以我更喜欢爬行器,以确保我不会忘记一个条目......

THX

在输入这篇文章后好了,我意识到我要求一个黑客工具,当然不是这样:p,所以任何白帽技术都可用吗?

1 个答案:

答案 0 :(得分:2)

在寻找自动化工具之前,您应该修复已知问题。

您需要执行以下步骤:

  1. 如果网站使用框架,框架是最新的还是修补的?该框架主要是自动化工具将攻击的内容,因此,不要对其进行测试,只需将其更新即可。
  2. 如果站点有自己的SQL,则需要手动检查每个SQL语句,以确保它们都不易受攻击。这意味着,在每种情况下,要么转换为参数化语句(最好),要么使用mysql_real_escape_string()或类似的,如果不切实际的话。

    3. 您应该将上述内容视为比测试工具高得多的优先级。在这些工具完成之前,甚至不要花时间寻找自动扫描工具。

    自动SQL注入工具无法找到所有问题,即使对于有能力的攻击者来说也是如此。

    在完成上述两项工作之前,您将浪费时间在自动化工具上。

相关问题
最新问题