Pangolin(穿山甲)一款帮助渗透测试人员进行SQL注入测试的安全工具。它能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。Pangolin是目前国内使用率最高的SQL注入测试的安全软件,可以说是网站安全测试人员的必备工具之一。
其特点如下。
l全面的数据库支持。
l独创的自动关键字分析功能可以使判断结果更准确。
l独创的内容大小判断方法能够减少网络数据流量。
l最大化的Union操作能够极大地提高SQL注入操作的速度。
l预登录功能,在需要验证的情况下可以照样注入。
l代理支持。
l支持HTTPS协议。
l自定义HTTP标题头功能。
l丰富的绕过防火墙过滤功能。
l注入站(点)管理功能。
l数据导出功能。
支持的数据库如下。
lAccess
lDB2
lInformix,
lMicrosoftSQL Server
lMySQL
lOracle。
lPostgreSQL。
lSqlite3。
lSybase。
打开Pangolin,在URL中输入可能存在SQL注入的地址,然后点击菜单栏下面的 开始按键,见41所示。
41 Pangolin配置界面
接下来选择注入参数类型和数据库,然后选择注入后想知道的信息,最后点击Information下的【Go】按键,经过测试完毕,信息即被显示出来,见42所示。
42 Pangolin信息显示界面
星云测试
http://www.teststars.cc
奇林软件
http://www.kylinpet.com
联合通测
http://www.quicktesting.net