Tool Tuesday – sqlmap

Ist ihre Webanwendung anfällig für SQL Injection? Mit sqlmap können Sie es testen.

Kurz zum Background: Eine SQL Injection ist eine Schwachstelle in eine Webanwendung, die es ermöglicht, SQL-Befehle an die Datenbank zu senden, da die Webanwendung keine geeigneten Gegenmaßnahmen implementiert hat. Mehr Infos dazu finder man unter: https://www.owasp.org/index.php/SQL_Injection. Findet man Hinweise auf eine solche Schwachstelle, kann man sqlmap einsetzen, um die Schwachstelle genau zu verifizieren.

sqlmap ist ein Commandline Tool, zur automatisierten Überprüfung auf SQL Injections. Dieses Tool stellt eine Fülle an Optionen zur Verfügung. sqlmap verwendet alle bekannten Techniken zum Erkennen einer SQL Injection, wie Boolean-based, Time-based, Error-based, UNION-based und Stacked queries. Die Aggression mit der sqlmap vorgeht, kann ebenfalls eingestellt werden, um den Auswirkungen auf den Netzwerkverkehr zu kontrollieren.

Wird eine Schwachstelle festgestellt, kann sqlmap auch zum Ausnutzen dieser Lücke eingesetzt werden. Das Tool ist in der Lage, die genutzten Datensysteme zu erkennen, einzelne Tabellen zu extrahieren oder auch ein Abbild der kompletten Datenbank zu erzeugen. Außerdem ist es möglich, in manchen Fällen eine Shell zum Betriebssystems des Datenbank Servers zu erhalten.

Mehr Informationen unter: http://sqlmap.org/

Sind Sie nicht sicher, ob SQL Injections bei Ihrer Anwendung möglich sind?  Kontaktieren Sie uns gerne!