Sử dụng phần mềm này để scan lỗi sql injection. Từ đó, giúp ta tìm được các lỗ hổng liên quan đến cơ sở dữ liệu và có thể dựa vào đó mà khắc phục.
Việc tìm ra lỗi SQL injection là khá quan trọng, hacker có thể dựa vào đó khái thác các thông tin có trong cơ sở dữ liệu, đánh cắp, thay đổi thông tin trong cơ sở dữ liệu.
8.1 Triển khai:
- Chỉ cần có thể kết nối tới website muốn kiểm tra lỗi. Trong mạng LAN, Internet đều được.
- Đầu tiên ta download phần mềm này tại
http://sourceforge.net/projects/spinj/files/spinj/SQL%20Power%20Injector%20v %201.2/SPInjv1.2.msi/download
- Sau khi download về, cài đặt bình thường.
8.2 Tính năng:
- Ta sẽ sử dụng phần mềm này để có thể scan các lỗi về sql injection có trong trang web.
- Giao diện chính của phần mềm như sau:
• Phần URL: tại đây ta nhập địa chỉ website mà ta muốn kiểm tra lỗi SQL injection.
• Database Type: chọn loại database server mà website đang sử dụng.
• Method: chọn phương thức POST hoặc GET để kiếm lỗi injection
• Technique:
o Normal: đây là phần mặc định hệ thống sẽ chọn. o Bind: phần mềm sẽ scan theo tùy chọn của bạn.
• General Setting:
o Replace Space by /* */: thay thế các khoảng trắng bằng “/* */” để kiếm lỗi. o Distinct: sử dụng các chế độ scan khác nhau.
o Top: scan từ đầu trang web
o Wait for delay: chọn thời gian bao lâu sẽ scan tiếp
• Trap error string: đặt bẫy tại các string có lỗi, giúp ta biết có từ dòng nào. Cuối cùng là bấm Start.