俄罗斯顶级黑客论坛发布了"卡秋莎扫描器"(Katyusha Scanner)。这是一款强大的全自动SQLi (SQL 注入)漏洞扫描器,采用了 Telegram messenger 和Arachni Scanner(一款开源的Web漏洞扫描框架)。
卡秋莎支持上传感兴趣的网站列表, 同时对多个目标发起并发扫描。
基于web 的控制面板
卡秋莎扫描仪售价500美元, 但由于需求量太大, 在2017年5月10日推出了一个轻型版本,折扣价为250美元。
在接下来的几个月中, 卡秋莎做了七主要更新。最新版本是卡秋莎0.8 pro。
卡秋莎扫描仪的routemap
卡秋莎的名字如同苏联在二战期间所开发的可以实现毁灭性打击的火箭发射器,卡秋莎扫描器支持对大量目标网站发起渗透性测试,并可以通过智能手机控制。
实时状态报告
喀秋莎支持的操作包括
Web Shell模块:
CMS识别(Bitrix, WordPress, OpenCart等)
登陆密码爆破(与SQLi扫描功能共存)
自动化webshell上传
SQL扫描支持:
基于错误的sql注入检测(sql_injection)
Oracle
InterBase
PostgreSQL
MySQL
MSSQL
EMC
SQLite
DB2
Informix
Firebird
SaP Max DB
Sybase
Frontbase
Ingres
HSQLDB
MS Access
SQL盲注
MySQL
PostgreSQL
MSSQL
看看用户的网评吧:
我极力推荐这个软件, 使用它在半天内发现了8个 sql 漏洞, 这是一个很好的程序,非常感谢卖方。
另一个称赞了开发商提供技术支持的质量: "在购买之后开发者帮助进行了产品设置, 并且 (卡秋莎) 立刻发现了 sql 漏洞。谢谢你的伟大的产品。
尽管SQL注入攻击已经出现20几年了,但黑客还是能够利用它来攻击网站。而像喀秋莎扫描器这样功能强大、操作傻瓜的扫描器更是会加重各行各业数据被入侵的情况,从而突出的是日常安全审计的重要性。
参考
https://www.recordedfuture.com/katyusha-scanner-analysis/