Статья JSQL - Java инструмент для автоматизации SQL инъекций

Всем привет, с Вами снова я, в очередной статье хочу обратить внимание на довольно качественный инструмент для автоматизации SQL инъекций как jSQL Injection v0.78. Если быть точным, то на его обновление до версии 0.78.

JSQL Injection - это легкое приложение, используемое для поиска информации на удаленном сервере. JSQL - бесплатен, с открытым исходным кодом и кросс-платформенный (Windows, Linux, Mac OS X, Solaris).

Логотип Kali Linux jSQL является частью Kali Linux. JSQL также включен в Black Hat Sec, ArchAssault Project и BlackArch Linux.

Список изменений jSQL Injection v0.78 включает в себя:

· SQL-движок

· MySQL Переполнение BIGINT для MySQL

· База данных: доступ

· Переводы: es pt de it nl id

· Улучшения графического интерфейса

Требования:

· Поддержка всех операционных систем

· Java jdk 7 или выше

Этот конкретный коммит включает:

· Обновление метаданных README и веб-служб

· Ожидание для панелей SQL Engine и настроек

· Исправленный XML-код поставщика базы данных для кандидатов по {RESULT_RANGE}

Исправлены ошибки:

· Если основной ввод был прерван пользователем, то это предотвращало получение таблиц из неполного списка баз данных.

· Обнаружение utf8 не удалось, если значение ячейки было null

· Методы ошибок корректно активированы, когда обнаружена соответствующая инъекция

Как уже говорилось выше, инструмент включен в дистрибутив Kali, так что либо обновляемся, либо скачиваем его отсюда - https://github.com/ron190/jsql-injection.

Запускаем:

> java –jar jsql-injection-v0.78.jar

Главное меню обновленной программы:

Спасибо за внимание.

 

[nikos]

Спасибо! очень полезная инфа.Vander ты как всегда постарался

 

[ghost]

Хороший обзор

 

[ghostphisher]

Не плохой инструмент, знаком с ним еще с первых релизов. Что привлекает в нем - удобство и быстрота работы с базами, как не крути иногда удобнее мышкой бо большим объемам перемещаться (панель навигации удобная). Болшой минус - не пробиваемость, если сравнивать с sqlmap ( из 10 пробитых sqlmap, jsql успешно отрабатывал 3-4). От версии к версии эта проблема стала уходить все дальше и дальше. Сейчас JSQL "бьет" 6 из 10 (сравнивая SQLMAP), а порой и 7. Удобный, быстрый. Место на полке занимает не зря. Входит в состав Пэррот, в Кали (по крайне мере ранее входил тоже)

ТС респект за поднятую тему.

 

[ron190]

(Sorry I don't speak russian)
Yes, I found long ago that sqlmap can use the wrong injection strategy sometimes, and I have chosen to implement my own tool from that moment. For a long time I have focused almost exclusively on bringing knowledge on injection to the user through a lot of work on the GUI, without much effort on optimizing speed and efficacity. I know the tool is kind of fast but it can do better on a lot of levels, like WAF detection.

I think the GUI is really important for new users to experiment with injection, even if you have zero knowledge on programming you should at least understand what's on your screen, so anyone can use the translation system to create a version in another language.

At first the tool seems really easy to use, but you can do advanced configuration too, like define your own SQL expressions and optimize the queries that are used by the tool. This one is new from yesterday. There's also 18 kinds of database supported for now, and I'm constantly searching new stuff to add.

 

[krypt0n]

Не плохой инструмент, знаком с ним еще с первых релизов. Что привлекает в нем - удобство и быстрота работы с базами, как не крути иногда удобнее мышкой бо большим объемам перемещаться (панель навигации удобная). Болшой минус - не пробиваемость, если сравнивать с sqlmap ( из 10 пробитых sqlmap, jsql успешно отрабатывал 3-4). От версии к версии эта проблема стала уходить все дальше и дальше. Сейчас JSQL "бьет" 6 из 10 (сравнивая SQLMAP), а порой и 7. Удобный, быстрый. Место на полке занимает не зря. Входит в состав Пэррот, в Кали (по крайне мере ранее входил тоже)

ТС респект за поднятую тему.

что сейчас про него скажешь?

 

[ghostphisher]

что сейчас про него скажешь?

Ничего нового, все тоже самое =)

 

[krypt0n]

Ничего нового, все тоже самое =)

понял

 

[Henrypp]

"Ничего нового, все тоже самое =) "
Даже больше можно сказать. OWASP машину сходу не вскрыл. SQLi 1 level