【注意】このサイトに記載されていることを他人に試すことは「不正アクセス禁止法」に該当する場合があります。詳しくはこちらから

ハッカーはsqlmcでドメインのすべてのURLにSQLインジェクションがないかチェックします(Kali Linux)

ホワイトハッカーの知識

sqlmcはKali Linux 2024.3 リリース時に追加されたアプリです。

sqlmcとは

SQLMC (SQL Injection Massive Checker) は、ドメインをスキャンして、SQLインジェクションの脆弱性を検出するために設計されたツールです。指定された URL を指定された深さまでクロールし、各リンクの SQL インジェクションの脆弱性をチェックして、検出結果を報告します。
 
 

機能

SQLMCの主な機能は以下の通りです。
・SQLインジェクションの脆弱性についてドメインをスキャンする
・指定されたURLを指定された深さまでクロールする。
・すべてのGETパラメータにSQLインジェクションの脆弱性がないか、各リンクをチェックする。
・サーバ情報と深さとともに脆弱性を報告
 
 

ツールの場所

もし、Kali Linuxをアップデートしても「sqlmc」が見つからない場合は
 
1.画面上部メニューより、「Terminal Emulator」から「Root Terminal Emulator」を選択します。
 
2.Authenticate画面で、Kali Linuxのパスワード"kali"を入力して「Authenticate」ボタンを押下します。
 
3.Root Terminal Emulatorが立ち上がりました。
 
4."sqlmc"と入力して、Enterボタンを押下します。
 
5.以下の応答が帰ってくるので"y"(インストール)ボタンを押下します。
コマンド 'sqlmc’ が見つかりません:
apt install sqlmc
インストールしますか?(N/y)
 
6.sqlmcがインストールされました。
 
7."sqlmc"を実行します。
これでsqlmcがインストールされたことを確認しました。
メニューには"sqlmc"が登録されていないため、直にターミナルから"sqlmc"を入力してください。
 
 

ツールと使用方法

例:sqlmc -u http://example.com -d 2
 
ツールは"example.com"に対して、スキャンする深さを"2″にしてスキャンを実行し、結果を表示します。
 
 

オプション(Options)

-h, –help

show this help message and exit
このヘルプメッセージを表示して終了する
 

-u URL, –url URL

The URL to scan
スキャンするURL
 

-d DEPTH, –depth DEPTH

The depth to scan
スキャンする深さ
 

-o OUTPUT, –output OUTPUT

The output file
出力ファイル
 
 

sqlmcのまとめ

このsqlmcコマンドは、SQLインジェクションの脆弱性を検出するためのツールであるため、私のテストドメインでテストしましたがSQLインジェクションの脆弱性が無かった為、実行結果が出力されませんでした。
 
sqlmcの説明で
「このツールは教育目的のみに使用されており、事前の相互同意なしにSQLMCをターゲット攻撃に使用することは違法です。」
とあります。
それだけ、重要度が高いコマンドなのですね。
使用には十分注意ねがいます。