SQL Injection සඳහා ප්රයෝජනවත් වෙන tools මොනවද ?
SQL Injection Vulnerability Types ගැන කතා කරපු අපිට මීළඟට කතා කරන්න තියෙන්නේ මේ SQL Injection සිදුකරන්න භාවිතා කරන උපක්රම, එහෙමත් නැත්තන් ඒ සඳහා ප්රයෝජනවත් වෙන tools ගැනයි.
SQL Injection එකක් පරිඝනකයේ web browser එක භාවිතා කරලා සිදු කරන්න හැකියාව තිබෙනවා. හැබැයි ඒ සඳහා හොඳ SQL පිළිබඳව දැනුමක් තියෙන්නේ ඕන. මොකද SQL queries ලියලා තමයි SQL Injection එකක් කරන්න වෙන්නේ. අපි කලින් කතා කරපු SQL Injection types වලින් හරියට වැඩ ගන්න නම් SQL වගේම hacking ගැනත් හොඳ අවබෝධයක් තියෙන්න ඕන.
නමුත් මේ වෙනකොට SQL Injection පහසුවෙන් කරගන්න සකස් කරපු automated SQL Injection tools කිහිපයක් තිබෙනවා. ඉතින් අපි මේ ලෑස්ති වෙන්නේ ඔයාලට ඒ SQL Injection tools මොනවාද සහ ඒවායින් වැඩ ගන්නේ කොහොමද කියලයි.
හරි, මුලින්ම බලමු SQL Injection tool එකක් කියන්නේ මොකක්ද කියල. Database එකක් ඇතුළට පිවිසිලා එහි තිබෙන SQL queries hackerට ඕන විදියට පාලනය කරගන්න web interface එකක සිට ක්රියාත්මක කරන්න පුළුවන් tools තමයි මේ SQL Injection tools ලෙස හඳුන්වන්නේ.
Pen testers සහ blackhat hackers කියන දෙවර්ගයම මේ tools භාවිතා කරනවා ඔවුන්ගේ වැඩකටයුතු පහසු කරගන්න.
මේ SQL Injection tools වලින් වෙබ් අඩවි වල database එකේ තිබෙන අනතුරට පත්කළ හැකි ස්ථාන හොයාගන්න හැකියාව තිබෙනවා. Database එකක තිබෙන දේවල් ලෙස අපිට පහත සඳහන් කොටස් හඳුනා ගන්න පුළුවන්.
- වෙබ් අඩවියේ අන්තර්ගතය
- වෙබ් අඩවියේ theme එක
- වෙබ් අඩවියේ පරිශීලක නාමයන් සහ මුරපද
- වෙබ් අඩවියේ පරිශීලකයින්ගේ දත්ත
- වෙබ් අඩවියේ ආකෘතිය
ඉතිං database එකක් තුළට රිංගලා මේ වගේ තොරතුරු ගොඩක් ලබාගන්න SQL Injection tools යොදාගන්නවා.දැන් අපි බලමු මේ tools කොහොමද වැඩ කරන්නේ කියලා.
ඉතා හොඳ ක්රියාකාරී detection engine (රහස්ය අනාවරණ යන්ත්ර) තාක්ෂණයක් යොදාගෙන තමයි මේ SQL Injection tools develop කරලා තියෙන්නේ. ඉතින් මේ tool එකට අපිට ඇතුල්වෙන්න ඕන වෙබ්අඩවියේ URL එක parameter එක විදියට අරගෙන එම ඉලක්කය attack කරන්න බලනවා. මේ tools වල තිබෙන detection engine එක අනුව attack කරන්න ඕන SQL Injection type එකේ පහසුකමත් තිබෙනවා. සමහර වෙලාවට අපේ ඉලක්කගත වෙබ් අඩවියට ඇතුල් වෙන්න නම් පරිශීලක නාමය සහ මුරපදය ලබාදෙන්න වෙනවා. ඉතින් මේ SQL Injection tools වලින් පුළුවන් ලබාදීලා තියෙන නාම සහ මුරපද වලින් අදාළ වෙබ් අඩවියට ඇතුල් වෙන්න. ඒ වගේම මේ tools වලින්, SQL වල තිබෙන GET සහ POST ක්රම වගේම වෙබ් අඩවියේ cookies වලට අනුකූල විදියට වැඩ කරන්නත් හැකියාව තිබෙනවා.
ඉතින් මේ tools automatically ක්රියාත්මක වෙලා විනාඩි කිහිපයක් ඇතුළත ඔයාට ප්රතිඵල ලබාගන්න පුළුවන්. ඒ වගේම මේ tools වලින් ඔයාට database එකේ ඕනෑම table එකකට වගේම ඕනෑම column එකකට පිවිසෙන්නත් හැකියාව තිබෙනවා. CLI (Command Line Interface) සහිත tools නම් ඔයාට commands දීලා දත්ත වලට ප්රවිෂ්ඨ වෙන්න හැකියාව තියෙනවා. Database server එකට පිවිසී දත්ත add කරන්න, modify කරන්න, delete කරන්න වගේම අවශ්ය නම් server එකට files upload කරන්නත් server එකෙන් files download කරන්නත් මේ tools සහය දක්වනවා.
SQL Injection tools
දැන් අපි මේ කියන්න හදන්නේ ඔයාට SQL Injection tools වලට උදාහරණ කිහිපයක්. මේ tools සියල්ලම වගේ SQL Injection වලදී යොදාගන්න හොඳ ක්රියාකාරී මට්ටමක තිබෙන ඒවා.
Havij SQL Injection
ආධුනිකයින්ට පවා පහසුවෙන් පාවිච්චි කරන්න පුළුවන් මේ tool එක automated වගේම පහසු GUI (Graphical User Interface) එකක් සහිතයි.
BSQL hacker
මේ tool එක විශේෂයෙන්ම නිර්මාණය Blind SQL injection ක්රමයෙන් SQL Injection කරන්නයි. මේ tool එකෙන් ඉතා ඉක්මණින් ඔයාට ප්රතිඵල ලබාදීමත් කරනවා. මෙම tool එක GUI (Graphical User Interface) ලෙස වගේම CLI (Command Line Interface) ලෙසත් භාවිතා කරන්න පුළුවන්. BSQL hacker tool එක MSSQL, ORACLE සහ MySQL වගේ database වලට හොඳට සහය දක්වනවා.
SQLMap
විවෘත සහ නිදහස් (Free & Open Source) tool එකක් වන මෙහි ඉතා ක්රියාකාරී හා ශක්තිමත් detection engine එකක් තිබෙනවා. එමෙන්ම මෙමඟින් සියලුම ආකාරයේ SQL Injections සිදුකරගන්න හැකියාවද පවතිනවා. MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB සහ HSQLDB වගේ ගොඩක් databases වලට සහය දක්වන මේ tool එකේ විශේෂතා කිහිපයක් තිබෙනවා.
- Dictionary attack මඟින් මුරපද සොයාගැනීම
- Files download සහ upload කිරීමේ පහසුකම
- Database එකට සම්බන්ධ වූ පසු එහි ඇති database නාම, tables සහ columns සෙවීමේ හැකියාව
SQLninja
මේ tool එකෙන් attackerට SQL database එකට remote ලෙස සම්බන්ධ වීමේ පහසුකම වගේම database එක GUI ආකාරයෙන් බැලීමේ හැකියාවද ලබාදෙනවා. Linux, FreeBSD, Mac OS X සහ iOS සහය දක්වන මෙම tool එක Windows මෙහෙයුම් පද්ධති සඳහා නම් සහය දක්වන්නේ නෑ.
Safe3 SQL injector – මෙයත් අනිත් tools වගේම ස්වයංක්රීය සහ වේගවත් tool එකක්. ඒ වගේම මෙහි ඇති විශේෂිත AI (Artificial Intelligence) තාක්ෂණය නිසා attack කිරීමට පහසු SQL Injection ආකාරය වගේම database එක හඳුනා ගැනීමේ හැකියාවද පවතිනවා. මෙය HTTP මෙන්ම HTTPS සහිත වෙබ් අඩවි සඳහාද යොදාගන්න පුළුවන්. MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase සහ SAP MaxDB වගේ databases ගණනාවකට මෙය සහය දක්වනවා.
SQLSus
මෙයත් අනිත් tools වගේම වේගවත් සහ ඉතා හොඳට ක්රියාත්මක වෙන tool එකක්. Blind injection සඳහා මෙය වඩාත් සහය දක්වනවා. HTTPS සහිත වෙබ් අඩවි වලට සහය දක්වන මෙය GET සහ POST ක්රමවේද වලින් attack කිරීමට හැකියාව පවතිනවා. ඒ වගේම මේ tool එකෙන් cookies, socks proxy, HTTP authentication සහ binary data සොයාගැනීමේ පහසුකමද තිබෙනවා.
The Mole
Sourceforge මඟින් නිකුත් කරපු මෙය Open Source tool එකක්. ඔබට තියෙන්නේ attack කරන්න ඕන URL එක මෙයට දෙන්න විතරයි. එවිට tool එක Union හෝ Boolean ආකාරයෙන් එම වෙබ් අඩවිට පිවිසෙන්න පුළුවන් පහසුම ක්රමය සොයාගන්නවා.CLI ලෙස මෙය තිබුනත් භාවිතා කරන්න පහසුයි. MySQL, MsSQL සහ Postgres වගේ databases වලට සහය දක්වන මෙය GET, POST සහ cookie ක්රමද භාවිතා කරනවා.