pangolin是非常受欢迎的一款sql注入工具,有了该软件,sql的注入将更加方便,软件不仅可以进行数据导出,还有注入管理,预登陆等多种功能,帮助用户们更好的进行sql注入,感兴趣的朋友们千万不要错过哦!快来IT猫扑下载体验吧!
Pangolin官网介绍:
Pangolin是一款帮助渗透测试人员进行SQL注入(SQL Injeciton)测试的安全工具.Pangolin与JSky(Web应用安全漏洞扫描器、Web应用安全评估工具)都是NOSEC公司的产品.Pangolin具备友好的图形界面以及支持测试几乎所有数据库(access、MSSql、mysql、oracle、Informix、DB2、Sybase、PostgreSQL、sqlite).Pangolin能够通过一系列非常简单的操作,达到最大化的攻击测试效果.它从检测注入开始到最后控制目标系统都给出了测试步骤.Pangolin是目前国内使用率最高的SQL注入测试的安全软件.
Pangolin软件特色:
* 注入站(点)管理功能
* 独创的自动关键字分析能够减少人为操作且判断结果更准确
* 最大化的Union操作能够极大的提高SQL注入操作速度
* 独创的内容大小判断方法能够减少网络数据流量
* 全面的数据库支持
* 预登陆功能,在需要验证的情况下照样注入
* 支持HTTPS
* 代理支持
* 自定义HTTP标题头功能
* 数据导出功能
* 丰富的绕过防火墙过滤功能
Pangolin功能:
1、渗透测试人员用于发现目标存在的漏洞并评估漏洞可能产生后果的严重程度;
2、网站管理员可以用于对自己开发的代码进行安全检测从而进行修补;
3、安全技术研究人员能够通过穿山甲来更多更深入的理解SQL注入的技术细节.
SQL注入原理
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。基于此,SQL注入的产生原因通常表现在以下几方面:
①不当的类型处理;
②不安全的数据库配置;
③不合理的查询集处理;
④不当的错误处理;
⑤转义字符处理不合适;
⑥多个提交处理不当。
注入测试说明:
所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、web服务器的目的的测试方法.过去有许多Sql注入工具,不过有些功能不完全,支持的数据库不够多,或者是速度比较慢.但是,在Pangolin发布以后,这些问题都完满的解决,这也是它能够获得安全测试人员青睐的原因之一.