Bản cập nhật Havij 1.17 – Công cụ tự động tìm kiếm và khai thác lỗ hổng SQL Injection

Havij là một công cụ tự động giúp các tester thâm nhập để tìm kiếm và khai thác lỗ hổng SQL Injection trên một trang web.

Sử dụng phần mềm này, người dùng có thể thực hiện các phương pháp khai thác lỗ hổng SQL Injection một cách dễ dàng qua giao diện. Không khó xử dụng như SQLMap. Havij có thể lấy tên đăng nhập CSDL, mật khẩu mã Hash, dump bảng và cột, trích xuất dữ liệu từ cơ sở dữ liệu, thực hiện các câu lệnh SQL tấn công máy chủ của nạn nhân, thậm chí truy cập vào các tập tin quan trọng của hệ thống và thực hiện các lệnh tương tác với hệ điều hành (shell-chạy command line).

Sức mạnh đặc biệt của Havij để phân biệt nó với các công cụ tương tự là nhờ phương thức Injection độc đáo. Tỉ lệ thành công của các cuộc tấn công nhờ Havij lên tới 95%.

Với giao diện thân thiện và thiết đặt hệ thống phát hiện lỗ hổng tự động khiến nó trở nên dễ dàng cho tất cả người dùng.

Những điểm mới trong phiên bản 1.17

• Dump toàn bộ cơ sở dữ liệu của hệ thống.
• Phương pháp bypass MySQL kiểu mới.
• Tính năng ghi tập tin được thêm vào MSSQL và MySQL.
• Tải đầu vào dạng HTML .
• Lưu dữ liệu dưới dạng CSV .
• ‘Non-existent injection value’ có thể thay đổi bởi người dùng (mặc định là 999999.9).
• Kí hiệu đánh dấu comment có thể thay đổi bởi người dùng (thay vì mặc định như cũ là –).
• Vô hiệu hóa/cho phép đăng nhập.

Ngoài ra hệ thống sửa một số lỗi trong các phiên bản cũ

• Sửa lỗi: thêm các nhãn cơ sở dữ liệu trên bảng xem dưới dạng cây.
• Sửa lỗi:tìm các chuỗi kí tự cột trong PostgreSQL.
• Sửa lỗi: MS Access không hiển thị kiểu dữ liệu kiểu String
• Sửa lỗi: tự động phát hiện MSSQL không hiển thị khi phương thức error-based thất bại
• Sửa lỗi: tất cả cơ sở dữ liệu không hiện thị khi thử lại các phương thức thất bại
• Sửa lỗi: dự đoán bảng/cột trong MySQL time-based injection
• Sửa lỗi: crash khi dump file
• Sửa lỗi: load kiểu project injection (Integer hoặc String)
• Sửa lỗi: HTTPS đa luồng
• Sửa lỗi: lệnh 2005 trong MSSQL

Tải về Havij 1.17