• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья JSQL - Java инструмент для автоматизации SQL инъекций

Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 453
4 291
Всем привет, с Вами снова я, в очередной статье хочу обратить внимание на довольно качественный инструмент для автоматизации SQL инъекций как jSQL Injection v0.78. Если быть точным, то на его обновление до версии 0.78.

JSQL - Java инструмент для автоматизации SQL инъекций


JSQL Injection - это легкое приложение, используемое для поиска информации на удаленном сервере. JSQL - бесплатен, с открытым исходным кодом и кросс-платформенный (Windows, Linux, Mac OS X, Solaris).

Логотип Kali Linux jSQL является частью Kali Linux. JSQL также включен в Black Hat Sec, ArchAssault Project и BlackArch Linux.

Список изменений jSQL Injection v0.78 включает в себя:

· SQL-движок

· MySQL Переполнение BIGINT для MySQL

· База данных: доступ

· Переводы: es pt de it nl id

· Улучшения графического интерфейса

Требования:

· Поддержка всех операционных систем

· Java jdk 7 или выше

Этот конкретный коммит включает:

· Обновление метаданных README и веб-служб

· Ожидание для панелей SQL Engine и настроек

· Исправленный XML-код поставщика базы данных для кандидатов по {RESULT_RANGE}

Исправлены ошибки:

· Если основной ввод был прерван пользователем, то это предотвращало получение таблиц из неполного списка баз данных.

· Обнаружение utf8 не удалось, если значение ячейки было null

· Методы ошибок корректно активированы, когда обнаружена соответствующая инъекция

Как уже говорилось выше, инструмент включен в дистрибутив Kali, так что либо обновляемся, либо скачиваем его отсюда - .

Запускаем:

> java –jar jsql-injection-v0.78.jar

JSQL - Java инструмент для автоматизации SQL инъекций


Главное меню обновленной программы:

JSQL - Java инструмент для автоматизации SQL инъекций


Спасибо за внимание.
 
nikos

nikos

Well-known member
25.12.2016
508
189
Спасибо! очень полезная инфа.Vander ты как всегда постарался :)
 
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
Хороший обзор
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 522
3 355
Не плохой инструмент, знаком с ним еще с первых релизов. Что привлекает в нем - удобство и быстрота работы с базами, как не крути иногда удобнее мышкой бо большим объемам перемещаться (панель навигации удобная). Болшой минус - не пробиваемость, если сравнивать с sqlmap ( из 10 пробитых sqlmap, jsql успешно отрабатывал 3-4). От версии к версии эта проблема стала уходить все дальше и дальше. Сейчас JSQL "бьет" 6 из 10 (сравнивая SQLMAP), а порой и 7. Удобный, быстрый. Место на полке занимает не зря. Входит в состав Пэррот, в Кали (по крайне мере ранее входил тоже)

ТС респект за поднятую тему.
 
  • Нравится
Реакции: Vertigo, krypt0n и Vander
R

ron190

(Sorry I don't speak russian)
Yes, I found long ago that sqlmap can use the wrong injection strategy sometimes, and I have chosen to implement my own tool from that moment. For a long time I have focused almost exclusively on bringing knowledge on injection to the user through a lot of work on the GUI, without much effort on optimizing speed and efficacity. I know the tool is kind of fast but it can do better on a lot of levels, like WAF detection.

I think the GUI is really important for new users to experiment with injection, even if you have zero knowledge on programming you should at least understand what's on your screen, so anyone can use the translation system to create a version in another language.

At first the tool seems really easy to use, but you can do advanced configuration too, like define your own SQL expressions and optimize the queries that are used by the tool. This one is new from yesterday. There's also 18 kinds of database supported for now, and I'm constantly searching new stuff to add.
 
  • Нравится
Реакции: Vander
K

krypt0n

Happy New Year
12.11.2017
135
64
Не плохой инструмент, знаком с ним еще с первых релизов. Что привлекает в нем - удобство и быстрота работы с базами, как не крути иногда удобнее мышкой бо большим объемам перемещаться (панель навигации удобная). Болшой минус - не пробиваемость, если сравнивать с sqlmap ( из 10 пробитых sqlmap, jsql успешно отрабатывал 3-4). От версии к версии эта проблема стала уходить все дальше и дальше. Сейчас JSQL "бьет" 6 из 10 (сравнивая SQLMAP), а порой и 7. Удобный, быстрый. Место на полке занимает не зря. Входит в состав Пэррот, в Кали (по крайне мере ранее входил тоже)

ТС респект за поднятую тему.
что сейчас про него скажешь?
 
H

Henrypp

New member
21.01.2019
1
0
"Ничего нового, все тоже самое =) "
Даже больше можно сказать. OWASP машину сходу не вскрыл. SQLi 1 level
 
Мы в соцсетях: