Pangolin
Pangolin(中文译名为穿山甲)一款帮助渗透测试人员进行SQL注入测试的安全工具,是深圳宇造诺赛科技有限公司(Nosec)旗下的网站安全测试产品之一。
概述
Pangolin能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。Pangolin是目前国内使用率最高的SQL注入测试的安全软件,可以说是网站安全测试人员的必备工具之一。
注入测试
所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法。过去有许多SQL注入工具,不过有些功能不完全,支持的数据库不够多,或者是速度比较慢。但是,在Pangolin发布以后,这些问题都完满的解决,这也是它能够获得安全测试人员青睐的原因之一。
功能特点
功能
1、渗透测试人员用于发现目标存在的漏洞并评估漏洞可能产生 后果的严重程度;
2、网站管理员可以用于对自己开发的代码进行安全检测从而进行修补;
3、安全技术研究人员能够通过穿山甲来更多更深入的理解SQL注入的技术细节。
特点
* 全面的数据库支持
* 独创的自动关键字分析能够减少人为操作且判断结果更准确
* 独创的内容大小判断方法能够减少网络数据流量
* 最大化的Union操作能够极大的提高SQL注入操作速度
* 预登陆功能,在需要验证的情况下照样注入
*代理支持
* 支持HTTPS
* 自定义HTTP标题头功能
* 丰富的绕过防火墙过滤功能
* 注入站(点)管理功能
* 数据导出功能
数据库
Pangolin 支持数据库类型都是国内外主流使用的数据库类型,包括:
Access,
Microsoft SQL Server 2000,
Microsoft SQL Server 2005,
Microsoft SQL Server 2008,
SQLite3,Sybase。
新版本
更新如下:
a) Mysql获取速度在大于4.x版本的快速模式下提速10倍
b) 加快Microsoft SQL Server 2005/2008获取数据的速度, 提速10倍
c) 增强INFORMIX数据库的注入能力
d) 增加手动选择关键字的功能
e) 修复在字节by-byte模式下获取数据不全的问题
f) 增强注入判断能力,预先分析合适的Cookie进行测试
g) 增加Pangolin的命令行参数,增加语言选项
h) 修复长URL的崩溃错误
i) 修复"受限制的站点"中的URL无法使用Pangolin预登陆
j) 修复在进行内容管理时报错BUG
k) 修复Pangolin "Read Session" 功能异常
l) 修复一些内存泄露问题
命名由来
Pangolin翻译成中文即为穿山甲。之所以取名为穿山甲,是因为网络安全通常都伴随着网络防火墙,只允许极少数的业务端口开放。而SQL注入正是这样的一个攻击途径,他的动作就像穿山甲一样会“打洞”。能够穿越看似强大的目标。这也是网络安全的现状。
参考资料
Warning: Invalid argument supplied for foreach() in /www/wwwroot/newbaike.com/id.php on line 280