最近這些天,我們的項目組一直在使用IKE這個工具來對接MySQL,這里提到IKE,還有可能有部分讀者不清楚這個東西是什么,這里簡單介紹一下。
IKE是一個基于Java開發(fā)的MySQL注入&滲透測試工具,能夠自動化批量檢測和利用MySQL的一些漏洞,包括但不限于時間盲注、基于錯誤的注入、聯(lián)合查詢注入等,同時,它也能夠方便的自定義注入語句進行測試。使用IKE可以幫助我們快速了解數(shù)據(jù)庫的安全性,及時發(fā)現(xiàn)潛在的安全問題。
+------------------+----------------------+ | Database | Table | +------------------+----------------------+ | db_demo | tbl_user | | db_demo | tbl_product | +------------------+----------------------+
上面這段代碼展示了IKE在操作MySQL時的一個實例,我們可以看出IKE的操作其實也并不復(fù)雜難懂,只需要一點點的學習就能快速上手。
最后,值得一提的是,雖然IKE這個工具使用起來很方便,但是作為一名安全研究人員,我們?nèi)匀恍枰3种斏骱蛧乐數(shù)膽B(tài)度,因為在實際應(yīng)用過程中,一些情況可能比我們預(yù)想的更加復(fù)雜和危險,任何疏忽都可能導(dǎo)致災(zāi)難性后果的產(chǎn)生。