Tool Tuesday – sqlmap
Ist ihre Webanwendung anfällig für SQL Injection? Mit sqlmap können Sie es testen.
Kurz zum Background: Eine SQL Injection ist eine Schwachstelle in eine Webanwendung, die es ermöglicht, SQL-Befehle an die Datenbank zu senden, da die Webanwendung keine geeigneten Gegenmaßnahmen implementiert hat. Mehr Infos dazu finder man unter: https://www.owasp.org/index.php/SQL_Injection. Findet man Hinweise auf eine solche Schwachstelle, kann man sqlmap einsetzen, um die Schwachstelle genau zu verifizieren.
sqlmap ist ein Commandline Tool, zur automatisierten Überprüfung auf SQL Injections. Dieses Tool stellt eine Fülle an Optionen zur Verfügung. sqlmap verwendet alle bekannten Techniken zum Erkennen einer SQL Injection, wie Boolean-based, Time-based, Error-based, UNION-based und Stacked queries. Die Aggression mit der sqlmap vorgeht, kann ebenfalls eingestellt werden, um den Auswirkungen auf den Netzwerkverkehr zu kontrollieren.
Wird eine Schwachstelle festgestellt, kann sqlmap auch zum Ausnutzen dieser Lücke eingesetzt werden. Das Tool ist in der Lage, die genutzten Datensysteme zu erkennen, einzelne Tabellen zu extrahieren oder auch ein Abbild der kompletten Datenbank zu erzeugen. Außerdem ist es möglich, in manchen Fällen eine Shell zum Betriebssystems des Datenbank Servers zu erhalten.
Mehr Informationen unter: http://sqlmap.org/
Sind Sie nicht sicher, ob SQL Injections bei Ihrer Anwendung möglich sind? Kontaktieren Sie uns gerne!
Recent posts
Update – WordPress Author Security
Update: Unser WordPress Author Security Plugin ist jetzt auch im WordPress Plugin Store verfügbar.
WordPress Author Security
Wie können Sie aktiv das Enummerieren von Nutzernamen über die Autorenseiten von WordPress verhindern?
Pentest FAQ – #18 und #19 – Wie werden gefundene Schwachstellen bewertet? Und was ist der CVSS?
In unserer großen Application Security Penetration Test FAQ für Auftraggeber beantworten wir alles, was man vor, während und nach Beauftragung eines Application Security Penetrationstests wissen sollte.
Heute im Fokus: Fragen #18 und #19 – Wie werden gefundene Schwachstellen bewertet? Und was ist der CVSS?
Attack Afternoon – CSRF Gegenmaßnahmen #2
CSRF Gegenmaßnahmen #2: Ein anderer, zustandslosen Weg zum Schutz vor CSRF, ist die Methode des Double Submit Cookie.
NinjaDVA – unsere Schulungsumgebung
Die NinjaDVA ist unsere komfortable und flexible Schulungsumgebung.