应用漏洞验证类工具功能对比分析

Sqlmap：一款功能强大的命令行sql注入验证工具，能够验证各种盲注漏洞，推荐指数为5星；

SQLMAP是一款自动化的SQL注入工具，目前支持的数据库包括MSSQL，MYSQL，ORACLE和POSTGRESQL。SQLMAP采用四种独特的SQL注入技术，分别是SQL盲注，UNION查询SQL注入，堆查询和基于时间的SQL盲注入。其广泛的功能和选项包括数据库指纹，枚举，数据库提取，访问目标文件系统，并在获取完全操作权限时实行任意命令。

Havij：一款功能及其强大的图形化界面sql注入验证工具，操作简单，推荐指数为5星；

havij是一款自动化的SQL注入工具，它能够帮助渗透测试人员发现和利用Web应用程序的SQL注入漏洞。Havij不仅能够自动挖掘可利用的SQL 查询，还能够识别后台数据库类型、检索数据的用户名和密码hash、转储表和列、从数据库中提取数据，甚至访问底层文件系统和执行系统命令等。

Sqlcmd：一款通过账号口令连接数据库，执行查询语句的工具，推荐指数为3星；

sqlcmd是一款基于命令行的SQL实用工具，用于Transact-SQL 语句和脚本的即时、交互执行，同时可自动执行Transact-SQL 脚本撰写任务。它是一款可以帮助SQL数据库管理员和开发人员执行单条或多条复杂数据库实例查询指令的高效工具。

Domain：一款图形化界面自动化sql注入验证工具，仅支持微软数据库，但准确性较高，推荐指数为4星；

Domain（明小子注入工具）是一款多功能的注入检测工具，能够对SQL数据库，多种语言编写的网站进行SQL注入以达到渗透甚至控制数据库和网站的目的，主要支持微软的access和sql server数据库。同时它还具有旁注检测和综合上传等其他实用功能。

Pangolin：一款图形化界面自动化sql注入验证工具，支持sql server、oracle和mysql等主流数据库，推荐指数为4星；
Pangolin（中文译名穿山甲）是一款帮助渗透测试人员进行Sql注入测试的安全工具。Pangolin操作简单，从检测注入开始到最后控制目标系统都给出了测试步骤。Pangolin是目前国内使用率最高的SQL注入测试的安全软件，可以说是网站安全测试人员的必备工具之一。
Pangolin能够适应access、sql server、oracle、db2和sybase等主流数据库的注入。

啊D注入：一款图形化界面自动化sql注入验证工具，仅支持微软数据库，不能验证盲注漏洞，推荐指数为3星；

啊D注入工具是一款主要用于SQL注入的测试工具，它采用多线程技术，能在较短的时间内扫描注入点。同时内集了"跨库查询"、"注入点扫描"、"管理入口检测"、"目录查看"、"CMD命令"、"木马上传"、"注册表读取"、"旁注/上传"、"WebShell管理"、"Cookies修改"等工具，为使用者提供极大的方便。
啊D注入工具主要针对微软access和sql server数据库的注入。

NBSI：一款图形化界面自动化sql注入验证工具，推荐指数为3星；

NBSI是一款由VB语言编写的ASP网站注入漏洞检测工具，特别在SQL Server注入检测方面有较高的准确率。

HDSI：一款图形化界面自动化sql注入验证工具，推荐指数为3星；

HDSI是一款支持ASP、PHP的SQL注入扫描注射工具，它高效、快速，所使用的SQL注入语句非常有效。

请注意版权！转载须写明出处:动力软件园 http://www.pw88.com