四��、SQL Power Injector
SQL Power Injector可幫助滲透測試人員找到并利用網(wǎng)頁上的漏洞����。目前,它支持SQL Server���、Oracle���、MYSQL、Sybase/Adaptive Sever和DB2等數(shù)據(jù)庫���,但在使用inline注入時��,還可借助現(xiàn)有的數(shù)據(jù)庫管理系統(tǒng)來使用此軟件���。
其自動化的工作模式以兩種方式進行�,一是比較期望的結(jié)果�����,二是根據(jù)時間延遲���。
其工作狀態(tài)如圖2:
圖2
五、SQLNinja:
Sqlninja可以利用以SQL Server為后端數(shù)據(jù)支持的應(yīng)用程序的漏洞����,其主要目標是提供對有漏洞的數(shù)據(jù)庫服務(wù)器的遠程訪問。Sqlninja的行為受到配置文件的控制���,它告訴了Sqlninja攻擊的目標和方式��,還有一些命令行選項��。比如��,有如下一些命令選項:
�。璵<攻擊模式>,其攻擊模式有測試(test)����、指紋識別(fingerprint)����、強力攻擊(bruteforce)等�����;
其它的命令選項����,-v : 指明進行詳細輸出;-f<配置文件>:指明一個使用的配置文件�。-w<單詞列表>指明以強力攻擊模式使用的單詞列表。
如圖3是運行過程界面:
圖3
|
