网站安全检测，高手必备几款SQL注入工具

 

按照百度说法，SQL注入是经过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

利用SQL注入，攻击者可远程利用SQL注入漏洞，窃取用户数据库数据，包括用户名、密码、登录凭证等，甚至能够控制服务器的权限，对于网站进行挂码。下面介绍几种SQL注入工具，能够检测网站是否存在这方面的漏洞。

1. Havij

Havij是一款自动化的SQL注入工具，它可以帮助渗透测试人员发现和利用Web应用程序的SQL注入漏洞。Havij不只可以自动挖掘可利用的SQL 查询，还可以识别后台数据库类型、检索数据的用户名和密码hash、转储表和列、从数据库中提取数据，甚至访问底层文件系统和执行系统命令，固然前提是有 一个可利用的SQL注入漏洞。

2. Domain SQL Injector

Domain SQL Injector是一款SQL注入扫描工具，与以往工具不一样的是它是扫描名同一服务器上的全部主机是否存在SQL注入漏洞，并将扫描结果以日志记录的方式保存下来。

3. Vega

Vega可以帮助你验证SQL注入、跨站脚本（XSS）、敏感信息泄露和其它一些安全漏洞。 Vega使用Java编写，有GUI，能够在Linux、OS X和windows下运行。

4. Hexjector

Hexjector是一个跨平台的PHP脚本程序，它能够自动扫描网站的SQL注入漏洞。

其余工具，后续再进行补充。

 

 

http://www.58maisui.com/2016/07/01/a-371/