無料のSQLインジェクション対策ツール 15種類
無料で使えるSQLインジェクション対策スキャナ トップ15*ホームページを作る人のネタ帳の訳が結構悲惨なので訳してみた。そういえばブラインドSQLインジェクションってあったな。
元記事はsecurity-hacks.com。この元の記事もそれぞれのツールのサイトの説明をコピーしているだけだったりする。
- SQLIer
- 脆弱性のあるURLを取って(?)、SQLインジェクション脆弱性を突くのに必要な情報をすべて特定しようする。自動で行ってくれるので途中で入力を求められることはない。
- SQLbftools
- ブラインドSQLインジェクションを使ってMySQLの情報を探査するツールを集めたもの。
- SQL Injection Brute-forcer (SQLibf)
- 自動的にSQLインジェクション脆弱性を発見し、攻撃するツール。通常のSQLインジェクションとブラインドSQLインジェクションを使う。単純なSQL操作によって、アプリケーションの脆弱性の程度を測ってくれる。
- SQLBrute
- ブラインドSQLインジェクションによってデータベース内のデータを総当り攻撃(ブルート・フォース)するツール。マイクロソフトのSQL Serverに対しては時間ベースの攻撃とエラー・ベースの攻撃を、Oracleに対してはエラー・ベースの攻撃ができます。Pythonで書かれていて、マルチ・スレッドで走ります。標準のライブラリー以外は必要ありません。
- BobCat
- 管理者がSQLインジェクション脆弱性を把握するのを助けるツールです。AppSecIncの調査に基づいています。リンクしているサーバやデータベース・スキーマのリストを作ったり、アプリケーションの利用者がアクセスできるテーブルすべてからデータを取ってくることができます。
- SQLMap
- 自動でブラインドSQLインジェクションを行うツール。Pythonで書かれている。active database management system fingerprintを行うことができ(意味不明)、またリモートのデータベースをすべて列挙することなどもできる。あらゆる機能をそなえたデータベース管理システムを目指しており、SQLインジェクションにつながるウェブ・アプリケーションのセキュリティ上の欠陥を把握することができる。
- Absinthe
- ブラインドSQLインジェクション脆弱性を持つデータベースのスキーマとデータを自動でダウンロードしてしまうツール。
- SQID - SQL Injection digger (SQLID)
- コマンドラインのプログラムで、ウェブサイトのSQLインジェクション脆弱性とよくある間違いを見つけてくれる。次のことができる:ウェブサイト内のSQLインジェクション脆弱性を見つけること、フォームでSQLインジェクション脆弱性の有無をテストすること。
- SQL Power Injection
- SQL Power Injection helps the penetration tester to inject SQL commands on a web page. It’s main strength is its capacity to automate tedious blind SQL injection with several threads. Get SQL Power Injection.
- FJ-Injector Framwork
- FG-Injector is a free open source framework designed to help find SQL injection vulnerabilities in web applications. It includes a proxy feature for intercepting and modifying HTTP requests, and an interface for automating SQL injection exploitation. Get FJ-Injector Framework.
- SQLNinja
- ウェブ・アプリケーションのSQLインジェクション脆弱性を突くツール。バックエンド・データベースにマイクロソフトのSQL Serverを使っているもの限定。
- Automagic SQL Injector((デモムービーがある。これは見るべき。[http
- //scoobygang.org/magicsql/])):自動のSQLインジェクションツールで、侵入テストの時間を節約するために作られた。マイクロソフトのSQLサーバのエラーを返してしまう脆弱性(バニラSQLインジェクション)を使って動作するようにできています。*1
- NGSS SQL Injector
- NGSS SQL Injector exploit vulnerabilities in SQL injection on disparate database servers to gain access to stored data. It currently supports the following databases: Access, DB2, Informix, MSSQL, MySQL, Oracle, Sysbase. Get NGSS SQL Injector.
*1:ブラインドじゃない方のSQLインジェクションをvanilla SQL injectionというらしい。The Web Application Security Consortium / SQL Injection