我如何testing我的网站SQL注入攻击?

那里有什么自动化工具?

sqlmap:一个SQL注入工具

sqlmap是一个在Python中开发的自动SQL注入工具。 其目标是检测并利用Web应用程序中的SQL注入漏洞。 一旦在目标主机上检测到一个或多个SQL注入,用户可以select各种选项来执行广泛的后端数据库pipe理系统指纹,检索DBMS会话用户和数据库,枚举用户,密码散列,权限,数据库,转储整个或用户特定的DBMS表/列,运行他自己的SQL SELECT语句,读取文件系统上的特定文件等等。

http://sqlmap.org

这里有一个,没有链接,因为有很好的理由怀疑它包含恶意软件…

http://www.darknet.org.uk/2008/09/bsql-hacker-automated-sql-injection-framework/ 

您还可以find一个脚本kiddy应用程序,并将其瞄准您的网站,他们喜欢使用SQL注入。

但是并非如此,使用防止SQL注入的库不是简单和容易吗?

有几个Firefox的插件: HackBar , SQL注入1.2

安全指南针

我没有真正使用他们的Firefox插件,但其中之一是为了findSQL注入问题。

一个商业自动化工具是来自McAfee的Scan Alert 。 他们每天都在追踪您的网站,并报告任何漏洞 – 不仅仅是SQL注入,还有端口等不应该是服务器上运行的软件的开放或不安全的版本。

那么简单地避免使用允许SQL注入攻击的技术呢?
如果您使用Prepared Statements而不是Dynamic SQL,那么您就是一笔金钱–SQL注入式攻击变得不可能,并且您可以获得更好的启动性能! 切勿在dynamicSQL中使用用户提供的string! 这是确保您的数据库免受注入攻击的唯一方法。 即使是自动化的工具也有盲点 – 它们是由人类创造的……

有用的资源: 防御SQL注入攻击的Oracle教程

WebCruiser – Web漏洞扫描器,不仅是一个networking安全扫描工具,而且还是一个自动SQL注入工具,一个XPath注入工具和一个跨站脚本工具!

findbugs工具使用静态分析来检测Java代码中潜在的SQL注入攻击。 从本质上讲,它将查找使用input参数构造SQL查询而不是用作预准备语句参数的情况。

我们不仅仅是BSQL :)在这里检查他们 –

http://www.darknet.org.uk/tag/sql-injection-tool/