ハッカーはsqlmcでドメインのすべてのURLにSQLインジェクションがないかチェックします(Kali Linux)

sqlmcはKali Linux 2024.3 リリース時に追加されたアプリです。

SQLMC (SQL Injection Massive Checker) は、ドメインをスキャンして、SQLインジェクションの脆弱性を検出するために設計されたツールです。指定された URL を指定された深さまでクロールし、各リンクの SQL インジェクションの脆弱性をチェックして、検出結果を報告します。

 

 

SQLMCの主な機能は以下の通りです。

・SQLインジェクションの脆弱性についてドメインをスキャンする

・指定されたURLを指定された深さまでクロールする。

・すべてのGETパラメータにSQLインジェクションの脆弱性がないか、各リンクをチェックする。

・サーバ情報と深さとともに脆弱性を報告

 

 

もし、Kali Linuxをアップデートしても「sqlmc」が見つからない場合は

 

1.画面上部メニューより、「Terminal Emulator」から「Root Terminal Emulator」を選択します。

 

2.Authenticate画面で、Kali Linuxのパスワード"kali"を入力して「Authenticate」ボタンを押下します。

 

3.Root Terminal Emulatorが立ち上がりました。

 

4."sqlmc"と入力して、Enterボタンを押下します。

 

5.以下の応答が帰ってくるので"y"(インストール)ボタンを押下します。

コマンド 'sqlmc’ が見つかりません：

apt install sqlmc

インストールしますか？(N/y)

 

6.sqlmcがインストールされました。

 

7."sqlmc"を実行します。

これでsqlmcがインストールされたことを確認しました。

メニューには"sqlmc"が登録されていないため、直にターミナルから"sqlmc"を入力してください。

 

 

例：sqlmc -u http://example.com -d 2

 

ツールは"example.com"に対して、スキャンする深さを"2″にしてスキャンを実行し、結果を表示します。

 

 

このヘルプメッセージを表示して終了する

 

スキャンするURL

 

スキャンする深さ

 

The output file

出力ファイル

 

 

このsqlmcコマンドは、SQLインジェクションの脆弱性を検出するためのツールであるため、私のテストドメインでテストしましたがSQLインジェクションの脆弱性が無かった為、実行結果が出力されませんでした。

 

sqlmcの説明で

とあります。

それだけ、重要度が高いコマンドなのですね。

使用には十分注意ねがいます。