Tool Tuesday – sqlmap

Okt 22, 2019

Ist ihre Webanwendung anfällig für SQL Injection? Mit sqlmap können Sie es testen.

Kurz zum Background: Eine SQL Injection ist eine Schwachstelle in eine Webanwendung, die es ermöglicht, SQL-Befehle an die Datenbank zu senden, da die Webanwendung keine geeigneten Gegenmaßnahmen implementiert hat. Mehr Infos dazu finder man unter: https://www.owasp.org/index.php/SQL_Injection. Findet man Hinweise auf eine solche Schwachstelle, kann man sqlmap einsetzen, um die Schwachstelle genau zu verifizieren.

sqlmap ist ein Commandline Tool, zur automatisierten Überprüfung auf SQL Injections. Dieses Tool stellt eine Fülle an Optionen zur Verfügung. sqlmap verwendet alle bekannten Techniken zum Erkennen einer SQL Injection, wie Boolean-based, Time-based, Error-based, UNION-based und Stacked queries. Die Aggression mit der sqlmap vorgeht, kann ebenfalls eingestellt werden, um den Auswirkungen auf den Netzwerkverkehr zu kontrollieren.

Wird eine Schwachstelle festgestellt, kann sqlmap auch zum Ausnutzen dieser Lücke eingesetzt werden. Das Tool ist in der Lage, die genutzten Datensysteme zu erkennen, einzelne Tabellen zu extrahieren oder auch ein Abbild der kompletten Datenbank zu erzeugen. Außerdem ist es möglich, in manchen Fällen eine Shell zum Betriebssystems des Datenbank Servers zu erhalten.

Mehr Informationen unter: http://sqlmap.org/

 

 

Sind Sie nicht sicher, ob SQL Injections bei Ihrer Anwendung möglich sind?  Kontaktieren Sie uns gerne! 

Recent posts

mgm sp @ Heise DevSec

Mit dem Thema „Wie praxistauglich ist „DevSecOps“ wirklich? – Ein Erfahrungsbericht“ ist unsere Kollegin Maximiliane Zirm dieses Jahr auf der Heise devSec vertreten. 

mehr lesen

Pentests zum Fixpreis

Durch Einbindung unserer Kollegen in Vietnam und eine eingespielte Organisation ist es uns möglich, Penetrationstests zu einem sehr attraktiven Fixpreis anzubieten.

mehr lesen

Tool Tuesday – nmap

Ein Tool, das auf keinem Pentester-PC fehlen darf, ist nmap. Dieses Kommandozeilenwerkzeug ist das Schweizer Taschenmesser für Penetrationstests auf Netzwerkebene, wird aber auch von Systemadmins gerne genutzt.

mehr lesen

Wenn Sie auf der Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu.
If you continue to visit the site, you agree to the use of cookies.
Privacy Policy / Cookie Policy

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close