Коммерческие продукты AppDetective от применения Security Inc. и NGSSQLCrack от NGS Software Ltd. также имеют такой возможности. 5. Прямой использовать атак Прямые атаки, используя такие инструменты, как Metasploit, показанные на рисунке 2, и его коммерческие эквиваленты (холст и основных IMPACT) используются, чтобы эксплуатировать уязвимости, найденные определенные при нормальной сканирования уязвимостей. Это, как правило, серебристо-пуля рубить для злоумышленников, проникающих в систему и осуществляющих инъекции кода или несанкционированного доступа командной строки.
Рисунок 2: уязвимость данных SQL Server с помощью ПОЛЕЗНАЯ MSFConsole Metasploit в. Атаки инъекции SQL-инъекции SQL 6. выполняются с помощью веб-приложений интерфейсных, которые не должным образом проверять ввод пользователя. Искаженные запросы SQL, в том числе команд SQL, могут быть вставлены непосредственно в веб-адресов и вернуться информативные ошибки, команды выполняется и более. Эти атаки могут осуществляться вручную - если у вас есть много времени.
После того, как я обнаружил, что сервер имеет потенциальную уязвимость SQL-инъекции, я предпочитаю, чтобы выполнить последующие-через с использованием автоматизированной инструмент, такой как SPI Dynamics 'SQL инжектор, как показано на рисунке 3. Рисунок 3: SPI Dynamics' SQL Инжектор инструмент автоматизирует SQL инъекции процесс. 7. слепых SQL инъекций Такие атаки идти о эксплуатации веб-приложений и SQL серверов фонами в той же основной моды в качестве стандартного SQL-инъекции.
Большая разница в том, что злоумышленник не получит обратную связь с веб-сервера в виде возвращенных сообщений об ошибках. Такая атака даже медленнее, чем стандартная инъекции SQL, учитывая догадки. Вам нужен хороший инструмент для этой ситуации, и это, где Абсент, как показано на рисунке 4, очень удобно. Рисунок 4: Абсент инструмент принимает боль из слепого тестирования SQL-инъекции. 8. Reverse Engineering системы обра