Статья XPath - Автоматизация SQL-иньекций

Всем привет, в этой статье я хочу ознакомить аудиторию форума с очередным довольно новым инструментом. Предназначен он для упрощения проведения атак с помощью SQL-инъекций.

Называется он XPath.

Xpath – является SQL - инжектором написанном на python, который автоматизирует процесс обнаружения и использования ошибок на основе недостатков безопасности при внедрении инъекций. На данный момент поддерживаемой базой для Xpath является MySQL DB. Пожалуйста, обратите внимание, что этот проект является ранней версией. Возможно присутствие ошибок и неисправностей. Используйте его на свой страх и риск!

Требования:

· Python27

· requests

· colorama

Вот ссылка на страницу автора на Github.

> https://github.com/r0oth3x49

Установим XPath себе, на Kali Linux 2016.2:

> git clone https://github.com/r0oth3x49/Xpath

> cd Xpath

> chmod +x xpath.py

Затем запустим:

> python2 xpath.py

Вот главные опции, для использования программы:

Пример использования, перед этим убедитесь, что база данных именно MySQL. Ко всему прочему, можно использовать ТОР.

На этом все. Спасибо за внимание.

 

[Black Diver]

Оно странно похоже на SQLmap... Очередной Болженос?

 

[Sniff]

SQLmap, на мой взгляд, удобнее и четко отработал по уязвимой цели - для сравнения запускался, тогда как XPath на комбинацию разных запросов, что то одно и то же выдаёт, как на Вашем последнем скрине. Уж не знаю, в чем дело, то ли у меня руки кривые, то ли утилита не доработана автором.

 

[s1rk0]

По-моему SQL инъекции уже не актуальны.

 

[ghostphisher]

По-моему SQL инъекции уже не актуальны.

Не соглашусь - они будут актыальны долгое время, особенно при установке пакетнх решений из коробки, такими пользуются небольшие компании или фирмы по созданию веб-решений (не дорогих). даже в серьезных проектах реально найти sql, но уже головой =). По интсрументу в данном топе: был тест, отличие от SQLMAP - скорость работы, но при этом теряется качество.

 

[Vertigo]

Не соглашусь - они будут актыальны долгое время, особенно при установке пакетнх решений из коробки, такими пользуются небольшие компании или фирмы по созданию веб-решений (не дорогих). даже в серьезных проектах реально найти sql,

В точку сказано , более скажу , подводит блатное устройство на работу своих ,не особо стремящихся вникать в работу,что очень распространено , отсюда свои косяки. Межсайтовый скриптинг-сюда же. Недавно брал Debian по Шелл-Шок и скриптингу. Урон не нанесён принципиально .Результат - из-за уважения к Linux письмо доброго анонима с одноразовой почты админу-думаете что -то поменялось? ))

 

[ghostphisher]

письмо доброго анонима с одноразовой почты админу-думаете что -то поменялось? ))

...наверное на одном из тематических форумов появился ТОП с текстом письма и большим знаком вопроса =)

Сама технология реализации веб ресурсов не позовляет пока отказаться от таких решений как есть, а пока эти решения остаются, то и руки кривые будут с ними работать. Вообщем живо все, искать лучше надо =)

 

[Vertigo]

...наверное на одном из тематических форумов появился ТОП с текстом письма и большим знаком вопроса =)

Хорошо если так , а может и так быть: " Web- ресурс работает , всё на месте , сбоев никаких , ну и ...шутка скорее всего чья-то из знакомых "