(http://3.bp.blogspot.com/-xLDjVvgdIJc/UFcMFAblCNI/AAAAAAAAEaI/MPXJuPVYi5o/s640/sqlifuzzer+(1).png)
Sqlifuzzer es un escáner de línea de comandos que busca identificar las vulnerabilidades de inyección SQL.
Características:
- Payloads / pruebas para numéricos, de cadena, de error y basada en el tiempo de inyección SQL
- Soporte para MSSQL, MySQL y Oracle DBMS
- Las pruebas automatizadas de parámetros 'difíciles' Like Post consulta URL y mulipart parámetros del formulario
- Una gama de opciones de evasión de filtros:
variación caso, la codificación URL de anidación, dobles, comentarios sobre los espacios, 'así como' de 'es igual a' operador, caracteres intermedios, nula y prefijos CRLF, el método HTTP intercambio (Se convierten los mensajes / mensajes se convierten GETS)
- ORDER BY y SELECT UNION pruebas sobre los parámetros vulnerables a:
- enumerar seleccionar los números de las columnas de consulta
- columnas de cadena de tipo de datos identificar en las consultas de selección
- extraer el esquema de base de datos y la información de configuración
- Las pruebas condicionales para extraer información DBMS cuando la extracción de datos a través UNION SELECT falla (es decir, sin las columnas de tipo cadena)
- Pruebas basadas retardo de tiempo para extraer información DBMS cuando la extracción de datos a través de métodos no condicionales (es decir, escenarios totalmente ciegos)
- Ensayo de inyección XPath respuesta basada Boole y extracción de datos
- Apoyo para la detección automatizada y pruebas de parámetros en la POST URI y los impresos de varias
Mantenimiento "estado" Scan:
- Detener una exploración en cualquier momento - se guarda el progreso del análisis y puede volver fácilmente a un análisis desde la URL que se detuvo
- Especifique un número de solicitud específica para continuar la exploración desde
- Excepción facultativa de una lista personalizable de parámetros del análisis ámbito
- El seguimiento de los parámetros analizados y la evitación de re-escaneo parámetros analizados
- Formato HTML de salida con:
links / botones para enviar comprobante de peticiones de inyección SQL Concepto
- enlaces a archivos de diferencia de respuesta y los datos extraídos
Descarga: http://sqlifuzzer.googlecode.com/files/sqlifuzzer-0.6.tgz
Gracias, una pregunta soy nuevo en esto, ya lo instale pero como lo ejecuto? lo ejecuto de la sig manera
bash sqlifuzzer-0.7.2.sh -t "escribi la direccion" pero me dice que falta -l <burplog> o -I <inputfile>