ハッカーはsqlmcでドメインのすべてのURLにSQLインジェクションがないかチェックします(Kali Linux)
ホワイトハッカーの知識
sqlmcはKali Linux 2024.3 リリース時に追加されたアプリです。
sqlmcとは
SQLMC (SQL Injection Massive Checker) は、ドメインをスキャンして、SQLインジェクションの脆弱性を検出するために設計されたツールです。指定された URL を指定された深さまでクロールし、各リンクの SQL インジェクションの脆弱性をチェックして、検出結果を報告します。
機能
SQLMCの主な機能は以下の通りです。
・SQLインジェクションの脆弱性についてドメインをスキャンする
・指定されたURLを指定された深さまでクロールする。
・すべてのGETパラメータにSQLインジェクションの脆弱性がないか、各リンクをチェックする。
・サーバ情報と深さとともに脆弱性を報告
ツールの場所
もし、Kali Linuxをアップデートしても「sqlmc」が見つからない場合は
1.画面上部メニューより、「Terminal Emulator」から「Root Terminal Emulator」を選択します。
2.Authenticate画面で、Kali Linuxのパスワード"kali"を入力して「Authenticate」ボタンを押下します。
3.Root Terminal Emulatorが立ち上がりました。
4."sqlmc"と入力して、Enterボタンを押下します。
5.以下の応答が帰ってくるので"y"(インストール)ボタンを押下します。
コマンド 'sqlmc’ が見つかりません:
apt install sqlmc
インストールしますか?(N/y)
6.sqlmcがインストールされました。
7."sqlmc"を実行します。
これでsqlmcがインストールされたことを確認しました。
メニューには"sqlmc"が登録されていないため、直にターミナルから"sqlmc"を入力してください。
ツールと使用方法
例:sqlmc -u http://example.com -d 2
ツールは"example.com"に対して、スキャンする深さを"2″にしてスキャンを実行し、結果を表示します。
オプション(Options)
-h, –help
show this help message and exit
このヘルプメッセージを表示して終了する
-u URL, –url URL
The URL to scan
スキャンするURL
-d DEPTH, –depth DEPTH
The depth to scan
スキャンする深さ
-o OUTPUT, –output OUTPUT
The output file
出力ファイル
sqlmcのまとめ
このsqlmcコマンドは、SQLインジェクションの脆弱性を検出するためのツールであるため、私のテストドメインでテストしましたがSQLインジェクションの脆弱性が無かった為、実行結果が出力されませんでした。
sqlmcの説明で
「このツールは教育目的のみに使用されており、事前の相互同意なしにSQLMCをターゲット攻撃に使用することは違法です。」
とあります。
それだけ、重要度が高いコマンドなのですね。
使用には十分注意ねがいます。