Wooyun常用扫描SQL注入工具：Sqlmap

作者：网络转载发布时间：[ 2016/5/23 13:35:35 ] 推荐标签：漏洞数据库软件测试工具

　　sql注入漏洞是非常严重的安全事故，除了遵循安全的编码规范外，通过自动化的工具扫描也是必要的工作。
　　sqlmap是一个开源的自动sql注入检测工具，通过sql注入破解数据库的相关信息甚至可以获取服务器的shell 权限。官网：sqlmap.org，文档wiki：文档wiki
　　基础环境
　　支持windows／linux
　　需安装python，建议安装 2.7以上版本
　　安装
　　下载压缩包：https://github.com/sqlmapproject/sqlmap/
　　解压即可
　　使用
　　sqlmap支持的参数非常丰富，包括指定cookie，header等等配置，破解数据库信息，获取服务器shell等等，详细看官方的手册，以下列举常用的方式：
　　/path/sqlmap.py -u "http://xxx.xxx.com/jzshow/gacs/list/id/3" --current-db
　　参数备注：
　　-u 指定目标的url链接
　　--current-db 获取当前数据库名称
　　详细参数
　　官方：https://github.com/sqlmapproject/sqlmap/wiki/Usage
　　wooyun用户翻译：http://drops.wooyun.org/tips/143
　　结果
　　不存在注入漏洞