보안이야기/보안문서 / / 2022. 3. 4. 16:26

SQL 인젝션 프로그램 총정리 - 리눅스 편

반응형

1. SQLMap

SQLMap

소개: 

오픈소스 SQL 인젝션 툴. 자동으로 SQL 인젝션 취약점을 탐지하고 공격하는 명령 프롬프트 기반 프로그램이다. Sqlmap 은 반 자동화된 공격툴로서 다른 웹 취약점 스캐너 혹은 수동으로 취약점 포인트를 찾아냈고, 해당 포인트가 공격이 가능한지를 확인할 때 Sqlmap이 필요하다. 침투 테스트용 OS인 칼리 리눅스(Kali LInux)에는 기본으로 탑재돼 있다.

 

공식사이트: 
https://sqlmap.org/


2. BBQSQL

이미지 출처: https://www.darknet.org.uk/2016/09/bbqsql-blind-sql-injection-framework/


소개:

Python 으로 작성된 Blind SQL Injection 프로그램이다. 뚫기 힘든 SQL 인젝션 취약점 페이지가 있을 때 유용하게 사용할 수 있다. 또한 직관적인 설정화면으로 인해 공격환경 설정이 쉬운편이다. 


공식사이트: 
https://github.com/CiscoCXSecurity/bbqsql

 


3. NoSQLMap

이미지 출처: https://latesthackingnews.com/2018/12/11/nosqlmap-open-source-audit-and-attack-nosql-databases/


소개: 

이 프로그램 또한 Python으로 작성되었다. NoSQL 데이터베이스에 대한 자동화 인젝션 공격에 사용되며, 현재는 MongoDB에 초점을 맞추고 있지만 차후 CouchDB, Redis, Cassandra 같은 다른 NoSQL 플랫폼에 대한 지원을 추가할 것으로 보인다. 


공식사이트: 
https://github.com/codingo/NoSQLMap

 


4. Whitewidow

이미지 출처: https://linuxhint.com/best_sqli_tools/


소개: 

Whitewidow는 오픈소스 자동화 SQL 취약점 스캐너다. 파일에 저장된 주소에 대한 스캔 혹은 구글 검색을 통해 취약점이 존재하는 웹사이트들을 검색하기도 한다. 해당 프로그램은 SQL 인젝션 공격에 대해 공부하는 사람들을 위해 만들어졌다. 해당 프로그램을 통해 SQL 인젝션 취약점이 발생하게 되는 원인과 그 해결법들을 제시한다.


공식사이트: 
https://github.com/WhitewidowScanner/whitewidow

 

 


5. DSSS

이미지 출처: https://www.kitploit.com/2017/08/dsss-damn-small-sqli-scanner.html


소개: 

DSSS는 모든 기능이 구비 된 SQL 인젝션 툴이다. (GET 및 POST 옵션 지원)
100 라인이 안되는 코드로 작성되었으며 HTTP 프록시와 http 헤더 User-Agent, Referer 및 Cookie에 대한 설정이 가능하다.
프로그램을 실행하려면 Python 2.6.x 혹은 2.7.x 버전이 설치돼 있어야 한다.


공식사이트: 
https://github.com/stamparm/DSSS

 



6. explo


소개:

explo는 매우 단순한 프로그램이다. 요청 및 조건에 대한 설정을 통해 explo는 스크립트를 사용할 필요없이 취약점을 이용할 수 있다. 


공식사이트: 
https://github.com/telekom-security/explo

 


7. Blind-Sql-Bitshifting


소개: 

이 모듈은 Blind SQL 인젝션을 사용하는 것이 아니라, bitshifting 메소드를 통해 캐릭터(Character)를 계산한다. 하나의 캐릭터를 계산하기 위해 7/8번의 요청이 필요하며, 이는 설정에 따라 변한다.


공식사이트:
https://github.com/awnumar/blind-sql-bitshifting

 


8. Leviathan

이미지 출처: https://kalilinuxtutorials.com/leviathan/


소개: 

Leviathan은 취약점 탐지용 툴 패키지다. 오픈 된 서비스 확인, Brute Force, SQL 인젝션 탐지 등 기능을 실행할 수 있다. 해당 패키지에는 masscan, ncrack, dsss 등 오픈소스 프로글매이 포함돼 있어. 각 프로그램을 연동으로 사용하기 쉽게 만들었다. Leviathan은 광범한 IP대역에 대한 취약점 스캔을 위해 만들어 진 프로그램이다.


공식사이트: 
https://github.com/utkusen/leviathan

 



9. Blisqy


소개: 

MySQL/MariaDB를 타깃으로 Blind SQL Injection을 통해 자리수마다 ASCII 코드를 대입해 데이터를 확인하는 프로그램이다. 


공식사이트: 
https://github.com/JohnTroony/Blisqy


반응형
저작자표시

'보안이야기 > 보안문서' 카테고리의 다른 글

윈도우 보안을 위해서 PowerShell 기능 끄기  (0) 2023.10.27
Ubuntu 20.04 환경에서 Nessus 10.3.0의 오프라인 설치와 크랙  (0) 2022.12.30
2022년 화이트 해커의 필수 도구 TOP 10  (0) 2022.12.28
SQL 인젝션 프로그램 총정리 - 윈도우 편  (0) 2022.03.01
bot 웸을 이용한 해킹 동영상  (0) 2022.02.27
  • 네이버 블로그 공유
  • 네이버 밴드 공유
  • 페이스북 공유
  • 카카오스토리 공유
보안이야기/보안문서 관련 글
글 더보기

티스토리툴바