أفضل ادوات حقن المواقع بثغرة سكيول انجكشن SQL Injection

أفضل ادوات حقن المواقع بثغرة سكيول انجكشن SQL Injection

يتم اختراق الكثير من المواقع يوميا، ومن أهم الاسباب المؤدية لحدوث هذه الإختراقات هو أن أصحاب ومديري المواقع لايقومون بالبحث عن الثغرات الامنية واختبار الاختراق في مواقعهم. 

طبعا يتم ذلك بالاستعانة ببعض الأدوات المشهورة على الانترنت، ونظرا لوجود العديد من الأدوات والتي ربما تصيب الفاحص بالحيرة في اختيار الأداة المناسبة له.

في هذه التدوينة سنغطي قائمة باشهر الأدوات أفضل ادوات حقن المواقع بثغرة سكيول انجكشن SQL Injection التي يستخدمها الهاكر في إكتشاف الثغرات الامنية في المواقع مع مميزاتها وعيوبها.

هذا التصنيف للأدوات الموجودة في مقالنا اليوم هو من خلال تجربتي الشخصية للأدوات, وقد قمت بتجربة معظم ادوات الحقن وهذا لمعرفة مميزات كل أداة وعيوبها أيضا.

SQLi Dumper

نعتبرها في مدونة ويكي كالي لينكس أفضل أداة حقن المواقع, ومساعدة فى عملية استغلال ثغرات الـ SQL Injection ومن مميزاتها:

1. يمكنك التعديل على الخيارات والطلبات الخاصة بها بكل سهوله, وتستطيع اضافة تخطيات أخرى يدويه .
2. يمكنك تخطي حماية الكلاود فلير Cloudflare Bypass وأعتبرها أفضل اداة للتخطي.
3. تستطيع تجاوز البروتوكول الامن الـ SSL الخاص بالمواقع المصابة بسهولة تامة.
4. سريعة فى عملية حقن الموقع واستخراج البيانات database dumps.
5. امكانية حقن أغلب السكريبتات المبرمجة بلغات مختلفه مثل: asp و aspx و html أغلب أنواع قواعد البيانات.
6. امكانية البدأ بالطلبات اليدوية من اي عمليه حقن, يكفيك فقط كتابه الاستغلال وامر الاداة بالاستكمال.

والميزة الجميلة في الأداة هي امكانية الدمج بين الحقن الاوتوماتيكي مع الحقن اليدوي والتعديل على الطلب.

• العيوب في الأداه قليله جدا وتكمن فى طريقه استخدامها وليس فى برمجة الاداة نفسها.
• الأداة تعمل على نظام الويندوز فقط.
• فى بعض الأحيان لا تشتغل الأداة أثناء تحميلها وهذا يرجع لمتطلبات الأداة لانه يجب توفر حزمة NETFRAMEWORK 3.5 يعني يجب تثبيته على النظام ويمكنك تحميله من موقع ميكروسوفت.

تحميل الأداة

اسم الملف: SQLi 8.5 - wikikali.rar
الحجم: 1.7 MB 

SQLMAP

هي أداة حقن المواقع مفتوحة المصدر تعمل على اكتشاف عيوب حقن SQL واستغلالها واستلام خوادم قواعد البيانات. 

لأنه يأتي مع محرك كشف قوي ، والعديد من الميزات المتخصصة لاختبار الاختراق النهائي ومجموعة واسعة من المحولات التي تدوم من البصمات في قاعدة البيانات ، عبر البيانات التي تجلب من قاعدة البيانات ، إلى الوصول إلى نظام الملفات الأساسي وتنفيذ الأوامر على نظام التشغيل.

هذه الأداة الرهيبة والمبرمجة بلغة البايثون القوية, من طرف محترفي الحماية والاختراق في العالم, وفيها من الميزات مالا تجده في الأدوات الأخرى فتجدها مثبتة تلقائيا على أنظمة اللينكس الخاصة باختبار الاختراق مثل الكالي لينكس.

1. الاداه تقريبا تتضمن كل المميزات اللتي يحلم بها كل هاكر, وهي أداة قويه جدا يعتمد عليها معظم الهكرز المحترفين
2. تستطيع من خلالها استخدام أخطاء السيرفر نفسها فى حاله تجاوزت حمايات القاعدة وكأن magic quotes مفعل.
3. امكانية عمل روت للسيرفر
4. القدرة على قراءة ملف الباسووردات المخزنة بالنظام ملف ال etc/passwd
5. امكانية رفع شيل على السيرفر.
6. امكانية حقن كل انواع قواعد البيانات.

العيوب:

• نحن في ويكي كالي نعتبر أن الأداة SQLMAP موجهة للمحترفين في مجال اختبار الاختراق والسبب هو اعتماد الاداة على الاوامر اليدوية, فهي لا تحتوي على واجهة رسومية.

• تعديل الريكوست أو الطلب صعب جدا, فلو ظهر تخطي لحماية معينة وأردت اضافته للأداة,  لا توجد امكانية لذلك, الا ان كنت مبرمج بلغة البايثون فيمكنك التعديل على اي شيء بالاداة فهي مفتوحة المصدر.

• اداة SQLMAP لا تتخطى حماية الكلاود فلير تلقائيا.

ملاحظة

• يمكنك تشغيل الاداة على أي نظام تشغيل سواء كان ويندوز او لينكس او ماك او اندرويد (عبر تارموكس).
• يجب فقط توفر مفسر البايثون في نظامك لتشغيل الاداة.

تحميل الأداة

اسم الملف: sqlmap-wikikali.rar

الحجم: 7.3 MB 

Havij 1.6

هذا البرنامج الشهير والذي لا يستغني عنه أي هاكر, حبيب الملايين واكتر برنامج بيتم استخدامه من المبتدئين والمحترفين وطبعا مميزاته معروفه

1. برنامج سريع ونتائجه دقيقة جدا فى كشف الاخطاء حتى بدون ظهور خطأ مباشر على الصفحة.
2. متعدد فى استغلال الريكوست.
3. سريع فى استخراج البيانات.
4. امكانيه قراءه ملفات السيرفر والبحث عن لوحه تحكم الادمن
5. واجهة رسومية بسيطة وعملية.

العيوب:

• بعض الخصائص والريكوست وهمية ومهما حاولت تعدل عليها تبقى كما هي ربما لان النسخة مكركة.
• لا يمكنها حقن المواقع المشفره بال ssl
• تتوقف الاداة فجأة اثناء حقن بعض انواع السكريبتات او عند استخراج بيانات ضخمه من جدول معين
• لا يتخطي الكلاود فلير كباقي معظم الادوات.

تحميل الأداة

اسم الملف: Havij v1.16 Pro Portable _ed-wikikali.rar   
الحجم: 5.0 MB 

jSQL Injection

عندما نتكلم عن اداة مبرمجة بلغه الجافا هذا يعني أننا أمام اداة سرعتها اضعاف سرعة الادوات السابقه ورغم السرعه الا ان امكانياتها ضعيفه ولا يمكن مقارنتها بالادوات السابقه ولكن قد تكون مفيده فى بعض الاوقات خصوصا لو كنت تحاول تحقن قاعده بيانات ضخمه وتحتاج سرعه فى استخراج البيانات.

1. مميزات الاداه JSQL  ليست كتيرة وتقريبا تشبه الهافيج لكن تتفوق  عليه اضعاف مضاعفه فى سرعة استخراج البيانات وسرعتها سلاح ذو حدين.
2. اذا كان الموقع الذى تحاول حقنه عليه كلاود فلير لن تتخطي الكلاود طبعا وبالتالى حظر بعد اول او تاني ريكوست تقريبا بسبب سرعتها غير الطبيعية.
3. اما اذا كان الموقع المراد حقنه غير مزود بخدمة الكلاود فلير فيمكن أن أضمن لك استطاعة الاداة JSQL استخراج جدول كامل فيه 50 الف صف فى اقل من ربع الوقت الذي تأخذه أي أداة اخرى.

ملاحظة:
الاداة JSQL حتى تشتغل يجب تنصيب الجافا على نظامك.

تحميل الأداة

اسم الملف: jsql-injection-v0.81-wikikali.rar 
الحجم: 1.9 MB 

SQL Tool v1.6 Beta By Exidous

هي اداة لا يعرفها الكثيرون وغير منتشره على شبكة الانترنت وتعتبر نسخه مطوره من برنامج Havij المعروف, فالمبرمج الخاص بها قام باخذ السورس كود الخاص ببرنامج Havij الهافيج وعدل عليه باضاقة مميزات أخرى وحل معظم العيوب

1- حقن المواقع التي تستخدم تشفيرات ssl عادي
2- امكانية  التعديل على الريكوست ولكن فى حدود معينه فقط
3- سريعه فى استخراج البيانات من قاعدة بيانات الموقع
العيوب:

• الاداه غير مستقرة وتتشنج كثيرا طبعا اعتقد بسبب الاخطاء البرمجيه داخل الاداة لانها نسخة beta
• لا تدعم كل قواعد البيانات , يعني أنواع محددة فقط.
• استخدمتها منذ فترة طويلة وهى بصراحه قويه جدا ومميزه فبعض الادوات تفشل في حقن بعض المواقع ولكنها تنجح دائما.

تحميل الأداة

اسم الملف: SQL Tool v1.6 Beta-wikikali.rar
الحجم: 1.0 MB 

طبعا توجد ادوات احترافيه مثل الـ sql ninja و mole لكن المجموعة التي ذكرناها في الاعلى أعتبرها افضل منها بكثير .

‫أدوات أخرى لحقن المواقع بثغرة سكيول انجكشن SQL Injection

أداة BSQL Hacker

هذه الأداة مفيدة لكلا الخبراء والمبتدئين لعمل هجمات حقن SQL على المواقع المصابة

https://github.com/portcullislabs/bsql-hacker

أداة  The Mole

احد اهم ادوات الحقن وتمتاز بدقة عالية وفلترة للأوامر

http://sourceforge.net/projects/themole/

أداة Pangolin

هذه الأداة لاختبار الاختراق

تم تطويرها من قبل NOSEC Technologie . لهدف اكتشاف واستغلال نقاط الضعف وحقن SQL على مواقع الانترنت.

http://www.tucows.com/preview/982160/Pangolin

أداة Enema SQLi

اداة ذات ديناميكية لمختبري الاختراق المحترفين , وتعتبر من اهم ادوات فحص البرمجيات من نقاط الضعف

https://code.google.com/p/enema

أداة Sqlninja

هذه الأداة ايضا من اهم الادوات التي تستهدف استغلال نقاط الضعف لحقن SQL على تطبيقات الويب

http://sqlninja.sourceforge.net

أداة sqlsus

اداة مكتوبة بلغة البرمجة Perl , وهي مفتوحة المصدر لأختبار اختراق MySQL

http://sqlsus.sourceforge.net/

أداة Safe3 SQL Injector

هذه الاداة من اقوى ادوات اختبار الاختراق الآلية وتعتبر ذات قوة خارقة في كشف الضعف في تطبيقات الويب واستغلالها 

http://sourceforge.net/projects/safe3si

وطبعا حتى تنجح في اختراق موقع يجب عليك تجربة جميع الادوات التي تطرقنا لها في التدوينة أفضل ادوات حقن المواقع بثغرة سكيول انجكشن SQL Injection حتى تصل لهدفك, فلو فشلت اداه فى الحقن جرب اداة أخرى غيرها وهكذا ويجب قبل كل شئ أن تكون متمكن من استغلال ثغره الحقن