 |
05-28-2010, 12:42 AM
|
#1 |
|
مديريت بخش
تاریخ عضویت: Dec 2009
نوشته ها: 186
Thanks: 6
Thanked 238 Times in 99 Posts
|
Havij 1.10 - Advanced SQL Injection Tool
Havij یک ابزار خودکار تزریق SQL است که به متخصصان تست نفوذ کمک می کند تا آسیب پذیری های تزریق SQL را بر روی یک صفحه ی اینترنتی پیدا و اکسپلویت (exploit) کنند.
هویج می تواند از یک برنامه ی آسیب پذیر تحت وب بهره برداری کند. با استفاده از این نرم افزار کاربر می تواند دیتا بیس متصل به برنامه آسیب پذیر را شناسایی کند، کاربر ها و هش پسورد های دیتا بیس را بگیرد، جدول ها و ستون ها را استخراج کند، اطلاعات را از دیتابیس دریافت کند، دستورات SQL اجرا کند و حتی به فایل های سیستم قرار گرفته شده در پشت دسترسی پیدا کند و بر روی سیستم عامل آن دستور اجرا کند. قدرت هویج که آن را از ابزار های مشابه متفاوت می کند روش های تزریق آن است. درصد موفقیت در تزریق هدف های آسیب پذیر بیش از 95% می باشد. رابط گرافیکی havij و تنظمیات و تشخیص های خودکار استفاده از آن را برای هر کسی حتی کاربران مبتدی آسان می کند.  قابلیت ها: 1. دیتابیس های مورد پشتیبانی همراه با روش های تزریق: MsSQL 2000/2005 with error MsSQL 2000/2005 no error (union based) MySQL (union based) MySQL Blind MySQL error based Oracle (union based) MsAccess (union based) 2. تشخیص خودکار دیتابیس 3. تشخیص خودکار نوع متغییر (عدد یا رشته) 4. امتحان گرامر (syntax) های مختلف تزریق 5. پشتیبانی از پروکسی 6. دور زدن مشکل illegal union 7. تشخیص خودکار کلمه ی کلیدی (پیدا کردن تفاوت بین پاسخ مثبت و منفی) 8. نتیجه ی real time 9. تنظیمات برای جایگزین کردن فاصله (space) با /**/,+,… در مقابل IDS یا فیلتر ها 10. عدم استفاده از رشته ها (دور زدن فیلتر های مشابه magic_quotes) 11. قابلیت انتخاب هدر های http بصورت دلخواه (مانند referrer و user-agent) 12. بازخوانی کوکی از سایت برای احراز هویت 13. حدس زدن جدول ها و ستون ها در mysql<5 (همچنین در blind) و MsAccess 14. گرفتن سریع جدول ها و ستون ها برای mysql 15. جستجوگر صفحه ی ورود سریع 16. کرکر MD5 به صورت آنلاین 17. دریافت اطلاعات DBMS 18. دریافت جداول، ستون ها و اطلاعات 19. اجرای دستور (فقط mssql) 20. خواندن فایل ها ی سیستم (فقط mysql) 21ـ Insert/update/delete اطلاعات تغییرات این ورژن: در این ورژن بیشتر سعی شده تا باگ های ورژن قبل بر طرف شود. - مشکل ارور به هنگام کنسل کردن انالایز بر طرف شد. - یک باگ در گرفتن جداول mssql بر طرف شد. - مشکل در پیدا کردن دیتابیس جاری برای mssql بر طرف شد. - مشکل html encode در ذخیره اطلاعات بر طرف شد. - یک باگ در تشخیص خودکار نوع اینجکشن برطرف شد. - یک سایت md5 کرک جدید اضافه شد و سایت های دیگر اپدیت شدند. - لیست جداول و ستون ها گسترش پیدا کردتد. [فقط اعضای سایت قادر به دیدن لینکها میباشند ] ویرایش توسط r3dm0v3 : 05-28-2010 در ساعت 12:43 AM |
|
|
| The Following 26 Users Say Thank You to r3dm0v3 For This Useful Post: | am!rkh@n (05-29-2010), ArAsh Jon (05-30-2010), bforce (06-08-2010), byebye (06-12-2010), c0xcr4ck3r (06-03-2010), Captain (05-29-2010), chameleon (06-01-2010), Dark (02-10-2011), evilzone (05-28-2010), firemaker (06-01-2010), hoamitu (06-03-2010), hoangserip (06-11-2010), homay (05-28-2010), judge21 (05-31-2010), LO30an (05-29-2010), M3hr@n.S (06-19-2010), m4r1z (06-16-2010), MOH3NCODEr (06-01-2010), Poorya (05-30-2010), RAGE SCREAM (05-28-2010), rahnama (05-29-2010), robocup (05-28-2010), skyhack (05-29-2010), tester (05-28-2010), Unistaller (06-01-2010), YuNi|[c (06-02-2010) |
|
05-30-2010, 08:58 AM
|
#2 |
|
مديريت بخش
تاریخ عضویت: Feb 2010
نوشته ها: 147
Thanks: 213
Thanked 209 Times in 84 Posts
|
با سلام خدمت دوستان
برنامه بسيار خوبي است كه در بسياري از مواقع كاركرد خوب و قابل قبولي دارد. ولي به نظر ميرسه كه در زماني كه قصد داري تعداد زيادي ركورد را بخواني (مثلا بالاي 1000 ركورد) مرتب سرعت گرفتن داده ها كم مي شود. اين مساله تا جايي پيش مي رود، كه براي گرفتن نتيجه سريعتر، لازم است برنامه را stop كرده و دوباره آنرا (از ركورد دلخواه) اجرا كني... . البته در اين هنگام نيز سرعت دريافت داده ها بالا نمي رود، بلكه لازم است تا برنامه در حال اجرا را بسته و دوباره آنرا اجرا نمايي. با آرزوي موفقيت روزافزون براي شما ویرایش توسط Provider : 05-30-2010 در ساعت 03:38 PM |
|
|
|
|
06-01-2010, 09:03 AM
|
#3 | |
|
مديريت بخش
تاریخ عضویت: Dec 2009
نوشته ها: 186
Thanks: 6
Thanked 238 Times in 99 Posts
|
نقل قول:
با هویج به راحتی میشه اطلاعات بیشتر از 1000 ستون رو دریافت کرد. اینم یه نمونش [فقط اعضای سایت قادر به دیدن لینکها میباشند ] اما در ورژن های بعد قابلیت dump کردن اطالعات به صورت مستقیم در فایل رو هم اضافه می کنم تا احیانا به خاطر نمایش اطلاعات سرعت کم نشه. |
|
|
|
|
| The Following 4 Users Say Thank You to r3dm0v3 For This Useful Post: |
|
06-01-2010, 10:18 AM
|
#4 |
|
مديريت بخش
تاریخ عضویت: Feb 2010
نوشته ها: 147
Thanks: 213
Thanked 209 Times in 84 Posts
|
با سلام
اين مساله اي كه مطرح كردم به خاطر مشكلي بود كه با يك Target مواجه شدم. اين Target داراي مقادير زيادي ستون بود( حدود 20 هزار تا كه بدست آوردن اين همه داده به صورت دستي امكان پذير نمي بود و حتما لازم بود از اين قبيل برنامه ها استفاده مي كردم). به هر حال در حين دريافت داده ها زماني كه به خصوص از يك مقدار خاص (تقريبا 1000 تا) فراتر مي رفت، سرعت دريافت داده ها مرتب كمتر مي شد، اما متوقف نمي شد و ... . با آرزوي موفقيت روزافزون براي شما 
ویرایش توسط Provider : 06-01-2010 در ساعت 10:19 AM |
|
|
|
|
06-02-2010, 12:33 PM
|
#5 |
|
مديريت بخش
تاریخ عضویت: Feb 2010
محل سکونت: home/
نوشته ها: 146
Thanks: 117
Thanked 197 Times in 92 Posts
|
تو این نسخه گزینه show requests وجود نداره؟؟!!
__________________
~::/It's not how YOU play the game. It's how the GAME plays you\::~
|
|
|
|
|
06-02-2010, 11:52 PM
|
#6 | |
|
مديريت بخش
تاریخ عضویت: Dec 2009
نوشته ها: 186
Thanks: 6
Thanked 238 Times in 99 Posts
|
نقل قول:
|
|
|
|
|
| The Following User Says Thank You to r3dm0v3 For This Useful Post: | chameleon (06-03-2010) |
 |
«
موضوع قبلی
|
موضوع بعدی
»
| ابزارهای موضوع | |
| نحوه نمایش | |
حالت خطی
|
|
اکنون ساعت 09:22 PM برپایه ساعت جهانی (GMT - گرینویچ) +4.5 می باشد.
