تست نفوذ به دیتابیس با نرم افزار havij
Havij ابزاری قدرتمند و منحصر به فرد برای تشخیص آسیب پذیری های وبسایتهایی است که باگ SQL دارند. در این برنامه ترگت مورد نظر را انتخاب میکنید و برنامه حجم زیادی از اسکریپتها و کوئری های مختلف را بر روی وبسایت هدف تزریق و تست میکند. به این ترتیب متخصصان میتوانند بدون نوشتن دستی اکسپلویتهای SQL کار را به Havij بسپارند و منتظر نتیجه باشند. اگر عملیات روی هدف موفقیت آمیز باشد، دیتابیس مورد نظر شناسایی و تمامی اطلاعات آن شامل پسوردهای هش شده، جداول و ستونها و داده ها و … در اختیار کاربر قرار میگیرد. چیزی که هویج را از سایر ابزارهای نفوذ مشابه متفاوت جلوه داده این است که درصد موفقیت آن در تزریق هدفهای آسیب پذیر بیش از 95درصد میباشد. سادگی واسط گرافیکی و تنظیمات این نرم افزار باعث شده است تا حتی افراد مبتدی هم بتوانند از آن استفاده کنند. البته قابل ذکر است این برنامه با همه قدرتی که دارد باز هم از الگوها و تستهای از پیش تعیین شده ای برای نفوذ استفاده میکند و قطعا برای حرفه ای ها نوشتن دستی اکسپلویتها و تستهای هدفمند گاهی اوقات از ضروریات است.
امکانات و ویژگی های Havij:
- پشتیبانی از پروتکل HTTPS
- حالت نفوذ SQL و اکسس با چشم بسته
- پشتیبانی از PostgreSQL
- چک کردن خودکار برای آپدیت نرم افزار
- کوئری های آموزشی
- امکان دامپ کردن داده ها در فایل
- امکان ذخیره کردن داده ها در فرمت XML
- اینجکت کردن اهداف مورد نظر از پورتهای مختلف
- امکان حذف لاگها
- امکان ذخیره تنظیمات برای آینده
- تست کلمات کلیدی و متدهای بازیابی
- پیدا کردن فهرستی از ستونهای محاسبته شده و بهینه سازی آنها برای تزریق بهتر
- پیدا کردن تعداد ستونها
- پشتیبانی از یونیکد
- امکان تنظیم مقدار Time Out
- تعیین پیشوند برای جداول و ستونها در حالت چشم بسته یا Blind
- و …
برای پیداکردن باگ و رفع آسیب پذیری می توانید از
اسکنر های مختلف برای سایتتان استفاده کنید(
اسکن سایت).
برای یافتن وبسایت هایی که باگ دارند می توانید از روش
گوگل هکینگ استفاده کنید.
آدرس نمونه سایت باگ دار: http://www.ibizafunrentacar.com/data.php?Id=21
و دورک استفاده شده برای آن: inurl:"data.php?id="
اساتید ببخشید اگه خیلی ساده حرفیدیم برای دوستان آماتور بود :)