أفضل ادوات حقن المواقع بثغرة سكيول انجكشن SQL Injection
يتم اختراق الكثير من المواقع يوميا، ومن أهم الاسباب المؤدية لحدوث هذه الإختراقات هو أن أصحاب ومديري المواقع لايقومون بالبحث عن الثغرات الامنية واختبار الاختراق في مواقعهم. طبعا يتم ذلك بالاستعانة ببعض الأدوات المشهورة على الانترنت، ونظرا لوجود العديد من الأدوات والتي ربما تصيب الفاحص بالحيرة في اختيار الأداة المناسبة له.في هذه التدوينة سنغطي قائمة باشهر الأدوات أفضل ادوات حقن المواقع بثغرة سكيول انجكشن SQL Injection التي يستخدمها الهاكر في إكتشاف الثغرات الامنية في المواقع مع مميزاتها وعيوبها.
هذا التصنيف للأدوات الموجودة في مقالنا اليوم هو من خلال تجربتي الشخصية للأدوات, وقد قمت بتجربة معظم ادوات الحقن وهذا لمعرفة مميزات كل أداة وعيوبها أيضا.
SQLi Dumper
- يمكنك التعديل على الخيارات والطلبات الخاصة بها بكل سهوله, وتستطيع اضافة تخطيات أخرى يدويه .
- يمكنك تخطي حماية الكلاود فلير Cloudflare Bypass وأعتبرها أفضل اداة للتخطي.
- تستطيع تجاوز البروتوكول الامن الـ SSL الخاص بالمواقع المصابة بسهولة تامة.
- سريعة فى عملية حقن الموقع واستخراج البيانات database dumps.
- امكانية حقن أغلب السكريبتات المبرمجة بلغات مختلفه مثل: asp و aspx و html أغلب أنواع قواعد البيانات.
- امكانية البدأ بالطلبات اليدوية من اي عمليه حقن, يكفيك فقط كتابه الاستغلال وامر الاداة بالاستكمال.
- العيوب في الأداه قليله جدا وتكمن فى طريقه استخدامها وليس فى برمجة الاداة نفسها.
- الأداة تعمل على نظام الويندوز فقط.
- فى بعض الأحيان لا تشتغل الأداة أثناء تحميلها وهذا يرجع لمتطلبات الأداة لانه يجب توفر حزمة NETFRAMEWORK 3.5 يعني يجب تثبيته على النظام ويمكنك تحميله من موقع ميكروسوفت.
تحميل الأداة
اسم الملف: SQLi 8.5 - wikikali.rar
الحجم: 1.7 MB
الحجم: 1.7 MB
SQLMAP
هي أداة حقن المواقع مفتوحة المصدر تعمل على اكتشاف عيوب حقن SQL واستغلالها واستلام خوادم قواعد البيانات. لأنه يأتي مع محرك كشف قوي ، والعديد من الميزات المتخصصة لاختبار الاختراق النهائي ومجموعة واسعة من المحولات التي تدوم من البصمات في قاعدة البيانات ، عبر البيانات التي تجلب من قاعدة البيانات ، إلى الوصول إلى نظام الملفات الأساسي وتنفيذ الأوامر على نظام التشغيل.هذه الأداة الرهيبة والمبرمجة بلغة البايثون القوية, من طرف محترفي الحماية والاختراق في العالم, وفيها من الميزات مالا تجده في الأدوات الأخرى فتجدها مثبتة تلقائيا على أنظمة اللينكس الخاصة باختبار الاختراق مثل الكالي لينكس.
- الاداه تقريبا تتضمن كل المميزات اللتي يحلم بها كل هاكر, وهي أداة قويه جدا يعتمد عليها معظم الهكرز المحترفين
- تستطيع من خلالها استخدام أخطاء السيرفر نفسها فى حاله تجاوزت حمايات القاعدة وكأن magic quotes مفعل.
- امكانية عمل روت للسيرفر
- القدرة على قراءة ملف الباسووردات المخزنة بالنظام ملف ال etc/passwd
- امكانية رفع شيل على السيرفر.
- امكانية حقن كل انواع قواعد البيانات.
- نحن في ويكي كالي نعتبر أن الأداة SQLMAP موجهة للمحترفين في مجال اختبار الاختراق والسبب هو اعتماد الاداة على الاوامر اليدوية, فهي لا تحتوي على واجهة رسومية.
- تعديل الريكوست أو الطلب صعب جدا, فلو ظهر تخطي لحماية معينة وأردت اضافته للأداة, لا توجد امكانية لذلك, الا ان كنت مبرمج بلغة البايثون فيمكنك التعديل على اي شيء بالاداة فهي مفتوحة المصدر.
- اداة SQLMAP لا تتخطى الكلاود فلير تلقائيا.
- يمكنك تشغيل الاداة على أي نظام تشغيل سواء كان ويندوز او لينكس او ماك او اندرويد (عبر تارموكس).
- يجب فقط توفر مفسر البايثون في نظامك لتشغيل الاداة.
تحميل الأداة
اسم الملف: sqlmap-wikikali.rarالحجم: 7.3 MB
Havij 1.6
- برنامج سريع ونتائجه دقيقة جدا فى كشف الاخطاء حتى بدون ظهور خطأ مباشر على الصفحة.
- متعدد فى استغلال الريكوست.
- سريع فى استخراج البيانات.
- امكانيه قراءه ملفات السيرفر والبحث عن لوحه تحكم الادمن
- واجهة رسومية بسيطة وعملية.
- بعض الخصائص والريكوست وهمية ومهما حاولت تعدل عليها تبقى كما هي ربما لان النسخة مكركة.
- لا يمكنها حقن المواقع المشفره بال ssl
- تتوقف الاداة فجأة اثناء حقن بعض انواع السكريبتات او عند استخراج بيانات ضخمه من جدول معين
- لا يتخطي الكلاود فلير كباقي معظم الادوات.
تحميل الأداة
اسم الملف: Havij v1.16 Pro Portable _ed-wikikali.rar
الحجم: 5.0 MB
الحجم: 5.0 MB
jSQL Injection
- مميزات الاداه JSQL ليست كتيرة وتقريبا تشبه الهافيج لكن تتفوق عليه اضعاف مضاعفه فى سرعة استخراج البيانات وسرعتها سلاح ذو حدين.
- اذا كان الموقع الذى تحاول حقنه عليه كلاود فلير لن تتخطي الكلاود طبعا وبالتالى حظر بعد اول او تاني ريكوست تقريبا بسبب سرعتها غير الطبيعية.
- اما اذا كان الموقع المراد حقنه غير مزود بخدمة الكلاود فلير فيمكن أن أضمن لك استطاعة الاداة JSQL استخراج جدول كامل فيه 50 الف صف فى اقل من ربع الوقت الذي تأخذه أي أداة اخرى.
الاداة JSQL حتى تشتغل يجب تنصيب الجافا على نظامك.
تحميل الأداة
اسم الملف: jsql-injection-v0.81-wikikali.rar
الحجم: 1.9 MB
الحجم: 1.9 MB
SQL Tool v1.6 Beta By Exidous
1- حقن المواقع التي تستخدم تشفيرات ssl عادي
2- امكانية التعديل على الريكوست ولكن فى حدود معينه فقط
3- سريعه فى استخراج البيانات من قاعدة بيانات الموقع
العيوب:
- الاداه غير مستقرة وتتشنج كثيرا طبعا اعتقد بسبب الاخطاء البرمجيه داخل الاداة لانها نسخة beta
- لا تدعم كل قواعد البيانات , يعني أنواع محددة فقط.
- استخدمتها منذ فترة طويلة وهى بصراحه قويه جدا ومميزه فبعض الادوات تفشل في حقن بعض المواقع ولكنها تنجح دائما.
تحميل الأداة
اسم الملف: SQL Tool v1.6 Beta-wikikali.rar
الحجم: 1.0 MB
الحجم: 1.0 MB
طبعا توجد ادوات احترافيه مثل الـ sql ninja و mole لكن المجموعة التي ذكرناها في الاعلى أعتبرها افضل منها بكثير .
أدوات أخرى لحقن المواقع بثغرة سكيول انجكشن SQL Injection
أداة BSQL Hacker
هذه الأداة مفيدة لكلا الخبراء والمبتدئين لعمل هجمات حقن SQL على المواقع المصابة
أداة The Mole
احد اهم ادوات الحقن وتمتاز بدقة عالية وفلترة للأوامر
أداة Pangolin
هذه الأداة لاختبار الاختراق
تم تطويرها من قبل NOSEC Technologie . لهدف اكتشاف واستغلال نقاط الضعف وحقن SQL على مواقع الانترنت.
أداة Enema SQLi
اداة ذات ديناميكية لمختبري الاختراق المحترفين , وتعتبر من اهم ادوات فحص البرمجيات من نقاط الضعف
أداة Sqlninja
هذه الأداة ايضا من اهم الادوات التي تستهدف استغلال نقاط الضعف لحقن SQL على تطبيقات الويب
أداة sqlsus
اداة مكتوبة بلغة البرمجة Perl , وهي مفتوحة المصدر لأختبار اختراق MySQL
أداة Safe3 SQL Injector
هذه الاداة من اقوى ادوات اختبار الاختراق الآلية وتعتبر ذات قوة خارقة في كشف الضعف في تطبيقات الويب واستغلالها
وطبعا حتى تنجح في اختراق موقع يجب عليك تجربة جميع الادوات التي تطرقنا لها في التدوينة أفضل ادوات حقن المواقع بثغرة سكيول انجكشن SQL Injection حتى تصل لهدفك, فلو فشلت اداه فى الحقن جرب اداة أخرى غيرها وهكذا ويجب قبل كل شئ أن تكون متمكن من استغلال ثغره الحقن