無料で使えるSQLインジェクション対策スキャナ トップ１５*ホームページを作る人のネタ帳の訳が結構悲惨なので訳してみた。そういえばブラインドSQLインジェクションってあったな。

元記事はsecurity-hacks.com。この元の記事もそれぞれのツールのサイトの説明をコピーしているだけだったりする。

SQLIer

脆弱性のあるURLを取って（？）、SQLインジェクション脆弱性を突くのに必要な情報をすべて特定しようする。自動で行ってくれるので途中で入力を求められることはない。

SQLbftools

ブラインドSQLインジェクションを使ってMySQLの情報を探査するツールを集めたもの。

SQL Injection Brute-forcer (SQLibf)

自動的にSQLインジェクション脆弱性を発見し、攻撃するツール。通常のSQLインジェクションとブラインドSQLインジェクションを使う。単純なSQL操作によって、アプリケーションの脆弱性の程度を測ってくれる。

SQLBrute

ブラインドSQLインジェクションによってデータベース内のデータを総当り攻撃（ブルート･フォース）するツール。マイクロソフトのSQL Serverに対しては時間ベースの攻撃とエラー・ベースの攻撃を、Oracleに対してはエラー･ベースの攻撃ができます。Pythonで書かれていて、マルチ･スレッドで走ります。標準のライブラリー以外は必要ありません。

BobCat

管理者がSQLインジェクション脆弱性を把握するのを助けるツールです。AppSecIncの調査に基づいています。リンクしているサーバやデータベース･スキーマのリストを作ったり、アプリケーションの利用者がアクセスできるテーブルすべてからデータを取ってくることができます。

SQLMap

自動でブラインドSQLインジェクションを行うツール。Pythonで書かれている。active database management system fingerprintを行うことができ（意味不明）、またリモートのデータベースをすべて列挙することなどもできる。あらゆる機能をそなえたデータベース管理システムを目指しており、SQLインジェクションにつながるウェブ･アプリケーションのセキュリティ上の欠陥を把握することができる。

Absinthe

ブラインドSQLインジェクション脆弱性を持つデータベースのスキーマとデータを自動でダウンロードしてしまうツール。

SQL Injection Pen-testing Tool

GUIを備えたツールで、ウェブ･アプリケーションの脆弱性を通してデータベースを走査する。

SQID - SQL Injection digger (SQLID)

コマンドラインのプログラムで、ウェブサイトのSQLインジェクション脆弱性とよくある間違いを見つけてくれる。次のことができる：ウェブサイト内のSQLインジェクション脆弱性を見つけること、フォームでSQLインジェクション脆弱性の有無をテストすること。

Blind SQL Injection Perl Tool

perlのスクリプトで、管理者がSQLインジェクション脆弱性のあるサイトから情報を取ってくるのに使える。

SQL Power Injection

SQL Power Injection helps the penetration tester to inject SQL commands on a web page. It’s main strength is its capacity to automate tedious blind SQL injection with several threads. Get SQL Power Injection.

FJ-Injector Framwork

FG-Injector is a free open source framework designed to help find SQL injection vulnerabilities in web applications. It includes a proxy feature for intercepting and modifying HTTP requests, and an interface for automating SQL injection exploitation. Get FJ-Injector Framework.

SQLNinja

ウェブ･アプリケーションのSQLインジェクション脆弱性を突くツール。バックエンド・データベースにマイクロソフトのSQL Serverを使っているもの限定。

Automagic SQL Injector((デモムービーがある。これは見るべき。[http

//scoobygang.org/magicsql/])):自動のSQLインジェクションツールで、侵入テストの時間を節約するために作られた。マイクロソフトのSQLサーバのエラーを返してしまう脆弱性（バニラSQLインジェクション）を使って動作するようにできています。*1

NGSS SQL Injector

NGSS SQL Injector exploit vulnerabilities in SQL injection on disparate database servers to gain access to stored data. It currently supports the following databases: Access, DB2, Informix, MSSQL, MySQL, Oracle, Sysbase. Get NGSS SQL Injector.