SQL注入工具大比拼
2008-10-27 16:49:05 来源:WEB开发网前言
随着ASP的日趋成熟,各种检测工具也逐渐流行了起来。如今,几乎每一个学习黑客的网迷手里都有一款或几款得心应手的注入工具。但我通过QQ群了解到,有相当一大部分人认为这些工具的注入手法是相同或相近的。其实这种说法只说对了一部分,在提交“and 1=1”、“and 1=2”进行漏洞判断时,这些软件所使用的方式的确是一样的,但接下来在猜解表名、猜解列名、猜解记录上,各软件所用的方式方法却不尽相同。
为了使菜鸟们能够更清楚的了解各软件的注入强点和注入弱点,以便物尽其用。本人特摘取啊D、NBSI、HDSI、WED、冰舞、CSC和Domain七种网络上常见的注入工具进行逐一分析,并列出部分注入语句以便读者更好的进行对比和学习,并附带了解一下作者的思路。
希望读者在看过此文后能对各注入软件有一个系统的了解,也希望编程人员能编出更好的注入软件来。
测试
本次测试是从网上随机选出的一些站点,分别用七种工具进行注入并统计结果。原准备要检测100个网站的,可是在检测到第四个网址时就发现了差距,因此也就没有检测太多的必要了。在此检测的七个站点仍是从这100个网址中随机挑选的,根据统计学的概率和正向分布原理,本测验也是有说服力的。
在Google中利用关键词查询:“大学 asp?id=43”,取得如下URL:
http://www.daofeng.net/articledisp.asp?ID=43
http://english.sdut.edu.cn/show_news2.asp?id=43
http://yzg.stu.edu.cn/tzgz/list.asp?id=43
http://www.merica.com.tw/win-asp/maintain/ShowSchool.asp?id=43
在Google中利用关键词查询:“下载 asp?id=43”,取得如下URL:
- ››SQL Server 2008 R2 下如何清理数据库日志文件
- ››sqlite 存取中文的解决方法
- ››SQL2005、2008、2000 清空删除日志
- ››SQL Server 2005和SQL Server 2000数据的相互导入...
- ››sql server 2008 在安装了活动目录以后无法启动服...
- ››sqlserver 每30分自动生成一次
- ››sqlite 数据库 对 BOOL型 数据的插入处理正确用法...
- ››sql server自动生成批量执行SQL脚本的批处理
- ››sql server 2008亿万数据性能优化
- ››SQL Server 2008清空数据库日志方法
- ››sqlserver安装和简单的使用
- ››SQL Sever 2008 R2 数据库管理
更多精彩
赞助商链接