数据库安全性,开源项目和SQLMAP的未来,Miroslav Stampar
SQLMAP是一种开源笔测试工具,可以检测和利用数据库漏洞,并具有注入恶意代码来模拟攻击的选项。
该项目由丹尼尔·贝鲁奇(Daniele Bellucci)于2006年创立,很快被贝纳多·达米勒(Bernardo Damele)接管,后者开发并推广了该项目,最著名的是在Black Hat Europe 2009年。
那年晚些时候,米罗斯拉夫·斯帕克(Miroslav Stampar)回答了开发人员的呼吁,并加入了该项目。
和SQL注入仍然被认为是最大的beplay体育能用吗Web应用程序安全2019年的风险每日swbeplay2018官网ig赶上Stampar,找出SQLMAP幕后发生的事情,以及开发人员寻求如何帮助组织来避免其数据库防御。
是什么使您参与了SQLMAP项目?
Miroslav Stampar:当时,我是一名年轻的专业软件开发人员和长期的安全爱好者,在“黑客”舞台上寻求新事物。There is a really funny anecdote, which is a big part of the project’s history: When I first spotted Bernardo’s call for developers, I actually thought it was related to another project called SQID – SQL injection digger – which I liked the most out of all SQL injection tools I had tried up until that point. After a year or two, out of the blue, I suddenly realised that I was working on a different project for the whole time.
多年来,SQL注入如何演变为攻击载体?
多发性硬化症:SQL注入是互联网历史上最有效的漏洞之一。从第一次记录的事件开始的二十年中,它仍然处于顶部OWASP前10名最关键的Web应用程序安全风beplay体育能用吗险。它在2008 - 2011年达到顶峰,这是一个大规模违规和黑客主义的动荡时期。
尽管漏洞基本上保持不变,但对Web应用程序的固有保护有了显着改善。beplay体育能用吗某些编程错误的风险要比10年前较小,因为基本的Web到数据库应用程序机制开始检查用户提供的数据格式。beplay体育能用吗
Microsoft ASP.NET和Web应用程序防火墙(WAF)等技术大大降低了攻击beplay体育能用吗平面。利用脆弱性变得越来越困难。
您的主要用户群是什么?您是否需要成为经验丰富的WebAdmin/Pen Tester,或beplay体育能用吗者任何人都可以开始使用SQLMAP?
多发性硬化症:通常,用户群是由知道如何运行Python程序以及了解基本网络术语(例如URL地址,获取参数和邮政正文)的人组成的。beplay体育能用吗
普通用户永远不需要触摸大多数交换机和/或选项,因为SQLMAP倾向于自动消除对整个检测和开发过程进行微调的负担。
然而,主要障碍似乎是在控制台模式下运行SQLMAP的要求。尽管我们计划最终发布GUI版本,但许多人要么不知道如何使用控制台应用。
这里要提到的重要一件事是处理如此大的用户群。有一个描述的过程,用户在运行SQLMAP时应报告自己的问题时应遵循,在特定情况下运行SQLMAP。该过程是有原因的:帮助我们检测,复制和修补代码(如果有任何修补程序)。
如果没有遵循此过程 - 尤其是热情的“新手” - 这不可避免地会导致自我冲突的自我冲突,这使我获得了BOFH的地位(地狱中的混蛋操作员)。
SQLMAP是一个开源项目有多重要?
多发性硬化症:SQLMAP成功的主要因素之一当然是其开源代码。由于没有什么可隐藏的,每个人都可以看一看,也许会学到一些东西,或者给我们改善部分的建议。
我相信,从决定对未知审稿人的审查进行审查之后,我的编程技能就开始显着提高。当您进行封闭的源开发时,项目的可见性和您自己会大大降低。
你觉得......怎么样nosqlmap?您是否正在探索任何其他可能有助于SQL支持数据库的工具的开发?
多发性硬化症:SQL和NOSQL是两个不同的野兽。While in SQL injection you really need only one vulnerable parameter to pivot through the backend database management system’s stored content, in the case of NoSQL you either target the misconfiguration of the service itself – direct access through the internet accessible port – or you have a pretty limited ‘injection’ potential in the web application part.
现在,理想情况下,这两种情况都将以“注射”作为主要攻击平面,这将导致这两个项目的某种合并。现实是不同的,这阻止了我们在SQLMAP中的扩展。
但是,就我个人而言,我永远不会对NOSQL(地图)说,因为我有一种潜力。也许随着一些高质量的研究和工作时间,可以明显地扩大和改进,以作为攻击向量。我感兴趣吗?也许。
SQLMAP的任何功能是否适用于其他平台,例如云?
多发性硬化症:SQLMAP的一个关键功能是用户始终隐藏的能力。这基本上意味着,如果用户使用足够的步骤(例如VPN或TOR),SQLMAP将不会尝试向第三方发送任何类型的私人信息。
即使未经处理的问题报告机制删除了可能揭示其用户身份的任何类型的“敏感”信息,但它仍可以自愿发送给我们的GitHub存储库。因此,我们的坚定信念是,任何一种“模糊”都只会吓到我们的用户群中的一部分。
SQLMAP在2019年即将到来?
多发性硬化症:原型GUI支持,从Python2慢慢切换到Python3,并在我们自己的虚拟环境中进行连续测试。
