是否有一个程序可以自动在 Web 服务器上查找 .PHP 文件并测试其是否存在 SQL 注入?

是否有一个程序可以自动在 Web 服务器上查找 .PHP 文件并测试其是否存在 SQL 注入?

我了解了最近的 Barracuda 黑客事件,有消息称其使用自动化工具来定位一些 PHP 文件并对其进行 SQL 注入测试。

在我目前的公司,我觉得安全不是首要任务,并且想测试我们的网站是否存在 SQL 注入漏洞。

你会使用什么工具来实现这个目的?我发现了python脚本sqlmap,但是它会自动找到服务器上使用的 PHP 文件吗?

答案1

sqlmap不会自动找到目标,但允许您使用代理日志作为目标列表的源:

-l LIST Parse targets from Burp or WebScarab proxy logs

Burp 主页:http://portswigger.net/burp/proxy.html

WebScarab 操作方法:http://travisaltman.com/webscarab-tutorial-part-1-learning-the-basics/

当然,您也可以登录服务器,获取 php 文件列表并将其修改为有效的 URL 列表(如果您没有在 Web 服务器上进行复杂的重写)。

编辑-像这样,假设服务器运行GNU / Linux:

#!/bin/bash
uri=http://webapp.yourdomain.com/app/
webroot=/var/www/yourapp/
find $webroot -iname '*php' | sed -e "s#$webroot#$uri#g"

相关内容