安全测试工具（连载6）

2.3 Pangolin

Pangolin（穿山甲）一款帮助渗透测试人员进行SQL注入测试的安全工具。它能够通过一系列非常简单的操作，达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。Pangolin是目前国内使用率最高的SQL注入测试的安全软件，可以说是网站安全测试人员的必备工具之一。

1. 产品介绍

其特点如下。

l全面的数据库支持。

l独创的自动关键字分析功能可以使判断结果更准确。

l独创的内容大小判断方法能够减少网络数据流量。

l最大化的Union操作能够极大地提高SQL注入操作的速度。

l预登录功能，在需要验证的情况下可以照样注入。

l代理支持。

l支持HTTPS协议。

l自定义HTTP标题头功能。

l丰富的绕过防火墙过滤功能。

l注入站（点）管理功能。

l数据导出功能。

支持的数据库如下。

lAccess

lDB2

lInformix,

lMicrosoftSQL Server

lMySQL

lOracle。

lPostgreSQL。

lSqlite3。

lSybase。

2．使用简介

打开Pangolin，在URL中输入可能存在SQL注入的地址，然后点击菜单栏下面的 开始按键，见41所示。

41 Pangolin配置界面

接下来选择注入参数类型和数据库，然后选择注入后想知道的信息，最后点击Information下的【Go】按键，经过测试完毕，信息即被显示出来，见42所示。

42 Pangolin信息显示界面

星云测试

http://www.teststars.cc

奇林软件

http://www.kylinpet.com

联合通测

http://www.quicktesting.net