Το sqlmap είναι ένα από τα πιο γνωστά εργαλεία ανοιχτού κώδικα για penetration testing το οποίο αυτοματοποιεί τις διαδικασίες εντοπισμού και εκτέλεσης SQL Injections. Είναι βασισμένο σε python και μπορεί κανείς να το βρει στο Kali Linux ή να το κατεβάσει από το github.
Το αντίστοιχο εργαλείο είναι διαθέσιμο και για κινητά Android με την ονομασία sqlmapchik. Με εύχρηστο γραφικό περιβάλλον και με πληθώρα επιλογών χωρίς την χρήση κονσόλας. Η βασική αποτελεσματικότητά του είναι ίδια με την αντίστοιχη έκδοση για υπολογιστή, αλλά σαν εφαρμογή παρουσιάζει κάποιες αστάθειες σε κάποιες συσκευές, οι οποίες με τον καιρό υπολογίζεται πως θα ξεπεραστούν. Επίσης, απουσιάζουν κάποιες λειτουργίες που διατίθενται στο κανονικό sqlmap όπως:
– sqlmap API
– profiling
– log colorizing
– beeping
– Ορισμός διεργασίας injection καθορισμένη από τον χρήστη
– Αναβάθμιση
– Διασύνδεση με το metasploit framework
Είναι κατανοητό πως εκ των πραγμάτων κάποιες από αυτές τις λειτουργίες είναι δύσκολο να ενσωματωθούν προς το παρόν.
Ο τρόπος εκτέλεσης του sqlmapchik και η διασύνδεση με τον χρήστη κατά την διεξαγωγή των αποτελεσμάτων δίνει την ίδια αίσθηση χρηστικότητας με το sqlmap.
Σημαντική προϋπόθεση για την δυνατότητα εκτέλεσης του sqlmapchik είναι η εγκατάσταση της πλατφόρμας BusyBox και κατ’ επέκταση να έχει γίνει root η συσκευή.
Ευχαριστούμε θερμά το μέλος της SecTeam @SAMSONIC