测试工程师招聘要求.docVIP

程序简介 超级SQL注入工具（SSQLInjection）是一款基于HTTP协议自组包的SQL注入工具，支持出现在HTTP协议任意位置的SQL注入，支持各种类型的SQL注入，支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入、Union注入，支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。 超级SQL注入工具采用C#开发，底层采用Socket发包进行HTTP交互，极大的提升了发包效率，相比C#自带的HttpWebRequest速度提升2-5倍。 超级SQL注入工具支持盲注环境获取世界各国语言数据，直接秒杀各种注入工具在盲注环境下无法支持中文等多字节编码的数据。 工具特点： 支持任意地点出现的任意SQL注入 支持各种语言环境。大多数注入工具在盲注下，无法获取中文等多字节编码字符内容，本工具可完美解决。 支持注入数据发包记录。让你了解程序是如何注入，有助于快速学习和找出注入问题。 依靠关键字进行盲注，可通过HTTP相应状态码判断，还可以通过关键字取反功能，反过来取关键字。 程序运行需要安装. Net Framework 2.0。运行环境Win7,Win8环境已测试，其他环境请自测。 基础信息配置 地址 打开程序在基础配置里面填写需要注入的域名或IP地址。 端口 打开程序在基础配置里面填写需要注入的域名或IP地址的端口。 SSL 如果是HTTPS传输的网页需要选择SSL，选择SSL会切换到443端口，如果是其他端口请修改端口地址。 超时 程序使用Socket传输，每个HTTP请求的超时时间，如果超过此时间，程序将放弃本次请求，单位是秒。 编码 程序在获取HTML网页时，采用的解码方式，默认采用UTF-8解码，如果是其他编码，可以选择对应的编码，编码可以在HTTP相应头或HTML头里面查看。 注入类型 程序目前支持Bool盲注、Union注入、错误显示注入。除了延时注入，目前已覆盖全部注入获取数据方式。 Bool盲注 Bool盲注利用数据库的阿斯特码（ASCII码）或Unicode、Hex等编码将目标数据转换成数字，利用And条件来判断此数字的值，在转换成对应的编码。 目前Bool盲注支持Access、MySQL5、SQLServer、Oracle等数据库，并支持中文、日文、繁体中文等世界各种语言。解决了各种注入工具在盲注环境无法获取中文等多字节编码的字符。 Union注入 Union注入利用数据库的Union联合查询来获取数据。 目前盲注环境支持Access、MySQL5、SQLServer、Oracle等数据库。 错误显示注入 错误显示注入利用数据库在完成某项操作时，在程序出现错误时将错误信息显示出来进行注入获取目标数据。由于错误显示的字符有长度限制，所以比Union注入方式稍慢，MySQL错误信息显示大约最长为64个字符，Oracle错误显示大约最长约为256个字符，SQLServer错误信息显示大约最长为2030个字符。 目前盲注支持MySQL5、SQLServer、Oracle等数据库。Access不支持错误显示注入。 数据库 判断数据库类型，选择对应的数据库。 线程 选择程序同时能运行的线程数量，默认10个线程。 重试 程序发送一个HTTP包失败后，尝试继续发包的次数。 自动识别 填好数据包，填写地址和端口即可自动进行注入识别，支持GET和POST参数自动识别注入。 导出配置 点击导出配置，将选择需要导出程序配置信息的路径，程序将导出配置信息到一个XML文件中，以后可以使用菜单中的导入配置来加载配置信息。 注入中心 数据包 使用抓包工具将HTTP发包数据抓取填写到这里，可使用Fiddler、Burp Suite等抓包工具，或手工配置数据包。 注意事项：如果是POST提交数据，必须有Content-Length属性，程序才能自动计算长度。 注入设置 开启URL编码 开启URL编码后，程序将会把编码标记中的数据进行URL编码操作，建议选择，因为请求参数中如果有特殊字符，可能导致发包结果不一致。 302跟踪 默认未开启，开启后，程序遇到302重定向时，将请求重定向的目标地址。如果可以根据状态吗判断注入时，可选中，下面关键字配置状态吗=码，进行注入。 注入标记 通常手工注入使用”xxxx.asp?id=1 and 1=1”进行注入判断，那么这里选中“ and 1=1”点击标记注入，程序将在有注入的位置设置注入标记，程序注入时将标记替换成注入获取数据的代码。 编码标记 选择数据包中需要使用URL编码的字符，点击标记编码，程序将插入编码标记。程序将自动一配置好的编码方式进行编码。 注入取数据配置 Union注入取数据配置 因为Union联合查询前后的列数需要保持一致，