Sqlmap - это программное обеспечение для обнаружения SQL инъекций, написанное на языке python. Оно находится в свободном доступе и является удобной утилитой для автоматического сканирования уязвимостей SQL. С его помощью можно как проверить свои ресурсы, так и извлечь данные с удаленного хоста и даже захватить его. Задача sqlmap - работать с каждой обнаруженной уязвимостью. Он способен получать доступ к ОС баз данных, извлекать их содержимое и выполнять различные команды на "атакуемом" сервере.
Sqlmap поддерживает 6 техник sql-инъекций (на запросе UNION, внеполосная, основанная на ошибке, основанная на времени, слепая логическая и т.д.).
Программа поддерживает распространенные системы управления баз данных: MySQL, Oracle, Microsoft SQL Server, Microsoft Access, PostgreSQL, Firebird, Sybase, HSQLDB и некоторые другие. Утилита умеет подключаться к базе данных напрямую с использованием учетных данных, IP адреса, имени базы данных и порта и предлагает взломать пароли, атакуя по словарю.
Недостатком sqlmap можно считать необходимость ее дополнительной настройки, для того чтобы можно было использовать ее незаметно. Иначе его без труда можно отследить из-за достаточного большого количества запросов к базе данных.
Особенности программы:
- Находится в свободном доступе
- Способна эксплуатировать каждую обнаруженную уязвимость
- Дает возможность тестирования своих сайтов/ресурсов
- Извлечение данных из бд
- Захват удаленного сервера