贪婪的烧鹅是帮助渗透试验人员进行Sql注入试验的安全工具。
SQL注入测试是指使用对象站点的某个页面,通过利用参数控制向用户传递不足或控制不充分时发生的漏洞,获取、修改、删除数据,进而在数据库服务器、Web服务器上进行贪婪的烧鹅可以通过一系列非常简单的操作使攻击测试的效果最大化。 给出了从检测注入到最后控制目标系统的测试步骤。
以下是一些例子。
渗透测试器用于确定目标中存在的漏洞,并评估漏洞可能导致结果的严重程度
网站管理员可以安全地检测和修补自己开发的代码
安全技术研究者可以通过贪婪地烧鹅,更深入地了解SQL注入的技术细节
以前有很多Sql注入工具,但有些功能不完整,支持的数据库不够,或者速度很慢。 但是,喜欢恶作剧的烧鹅发布后,这些问题都解决了。 贪婪的烧鹅可能是目前已经有的注入工具中最好的之一。
穿山甲使用教程:
URL输入框
在此输入要测试的目标的URL地址。 请注意,URL地址必须是承载参数的格式。 例如,http://www.site.com/news.asp? 格式,例如id=100。
注入方式选择框
如果服务器端代码匹配处理GET和POST参数的操作(JSP编程中常见),则通过GET和POST传递参数的效果相同。 此时,使用POST测试可以避免生成服务端日志。
如果要测量的参数通过表单传递,则需要连接地址。 如果传递参数的目标地址为http://www.**.com/login.ASP,且参数分别为username和password,则测试时在URL输入框中输入3358 www.* *.com/格式如username=aapassword=bb,将注入方式设置为POST。
数据库类型选择框
顺便说一下,SQL注入与数据库密切相关,而不是页面的代码语言。 这是很多文章误解了读者。 我看到asp注入、php注入、jsp注入等概念不正确。 应该说是MSSQL注入、Mysql注入或Oracle注入等。
使用此选择框可以指定目标Web连接的数据库类型。 扫描到注入点时,此选择框会自动选择相应的数据库类型。
在注入之前,如果知道目标的数据库类型,可以从下拉框中选择适当的值,以减少注入扫描所需的时间。
关键字输入框
什么是关键字? 在自动化工具的测试过程中,如果目标对不同的注入语句进行错误提示,程序可以知道这是典型错误,并可以提取信息。 但是,如果页面返回的结果不包含明确的错误消息,程序就无法确定哪个是普通页面,哪个是错误页面。 因为测试人员需要手动告发的普通页面或错误页面有什么特殊字符串,所以必须在此处输入此字符串。
其他一些注入工具需要测试人员输入关键字才能进行测试,但一些喜欢恶作剧的鹅却自行创建了自动分析关键字的功能。 这样,您就可以在不干预的情况下自动分析关键字以进一步扫描漏洞。