Чат codeby в telegram перезагрузка

Обсуждаем вопросы информационной безопасности, методы защиты информации, программирование. Задавайте свои вопросы и комментируйте чужие.

  Подробнее ...

На интересном ресурсе был представлен SQLMAP-Web-GUI. Это графический интерфейс для программы sqlmap (предназначенной для анализа веб-приложений на SQL-инжекты).

У этой утилиты открытый исходный код, есть парочка симпатичных видео (можно найти по приведённой ссылке). Я сам до сих пор не овладел в полной мере sqlmap и, конечно же, было бы интересно посмотреть и на графический интерфейс.

Ещё во время установки мне показалось, что больно уж всё заморочено — может быть потратить это время на чтение справки sqlmap? Давайте смотреть вместе.

Установка SQLMAP-Web-GUI на Kali Linux

Автор нигде этого не говорит, но для сервера нужна реализация JSON для PHP. Ставим этот пакет:

Следующая большая команда запустит Apache и MySQL, скачает необходимые файлы и откроет файл для редактирования.

(Внимание, эта команда затирает конфиг, если вы уже всё настроили, то сервер запускайте так: service apache2 start && service mysql start)

В открывшемся файле всё стираем, а записываем туда следующее:

По какому-ту наитию, авторы Kali Linux забыли положить файл sqlmapapi.py (хотя в исходных кодах он есть). Исправляем этот просчёт:

Запускаем сервер API sqlmap:

После этого в браузере нужно перейти по адресу http://127.0.0.1/sqlmap/

Можно набрать в консоли:

Главное окно выглядит симпатично и даже стильно:



05

После очень долгих мучений мне удалось заставить работать эту программу:

06

(первые результаты сканирования: сайт уязвим, хотя я это знал и так).

Выводы по SQLMAP-Web-GUI

  • Судя по всему, эта программа не тестировалась на Kali Linux, что привело к большой трате времени с решением возникших при её установки проблем.
  • Программа не выводит сообщений о происходящем вплоть до окончания процесса. В связи с этим, если вы выбрали, например, дамп базы при слепом SQL-инжекте (процесс может занять ОЧЕНЬ много времени), то всё это время вы будете ожидать в полном неведении что же происходит. Напомню, сама sqlmap намного более информативна в этом плане.
  • Да и с английским меню не очень удобно — те, кто знает английский, прочитают справку по консольной версии — пользы будет больше.
  • Я не увидел какого-то прорыва. Честно говоря, для меня это ещё один бесполезный графический интерфейс к очень хорошей программе. К сожалению, большинство этих графических интерфейсов не несут новых функций, бывают очень глючными и, на самом деле, мало кто ими пользуется.

Наш канал в telegram канал codeby

Пишем об информационной безопасности, методах защиты информации, о программировании. Не пропускай новости с кодебай, будь в тренде !

  Подробнее ...

Похожие темы

Top-10 утилит для тестирования на проникновение... Короткий пост о топ-10 утилитах для пентестера по версии одного буржуйского форума, вам на одобрение. Все тулзы с ссылками на оф. сайты и инфой ...
Накрутка в уязвимых android приложениях... Сегодня я хотел бы показать на примере, как халатно относятся разработчики приложений для "мобильного заработка" (заработка разработчиков, естествен...
RoxySploit — фреймворк для пентеста... RoxySploit - это поддерживаемый сообществом фреймворк для тестирования на проникновение с открытым исходным кодом, содержащий множество сценариев дл...
MARA — обратная разработка мобильных приложе... Перевод: Анна Давыдова Источник: n0where.net Обратная разработка мобильных приложений и структура анализа MARA расшифровывается как Mobile App...
THC-Hydra: очень быстрый взломщик сетевого входа в... Программа hydra поддерживает огромное количество служб, благодаря своей быстроте и надёжности она завоевала заслуженную признательность среди тестеров...