Przejdź do głównej zawartości

🧰 3.3.4 – Narzędzia do testowania

🎯 Cel sekcji

Poznać narzędzia – darmowe i komercyjne – wykorzystywane do wykrywania i analizy podatności typu Injection, w tym SQLi, Command Injection, NoSQLi i innych.

🧰 Narzędzia bezpłatne

🔍 1. sqlmap

Automatyczne wykrywanie i eksploatacja podatności SQL Injection.

sqlmap -u "http://example.com/item?id=1" --batch --dbs

✅ Wykrywa: bazy danych, tabele, kolumny, możliwość RCE.

🧪 2. Burp Suite Community Edition

  • Ręczne testowanie injection (Repeater, Intruder, Decoder).
  • Możliwość przechwytywania i modyfikacji zapytań HTTP.
  • Pluginy typu: SQLiPy, Hackvertor, Autorize.

🕷 3. OWASP ZAP

  • Zautomatyzowane skanowanie aplikacji.
  • Fuzzing, Passive Scanner, Scripting.
  • Wtyczki do testów injection i filtrów XSS/SQLi.

📦 4. Commix

Wykrywanie i wykorzystanie Command Injection.

commix --url="http://example.com/vuln?input=xyz"

🧬 5. NoSQLMap

Specjalistyczne narzędzie do testów MongoDB Injection.

python nosqlmap.py -u "http://example.com/api/login"

🔧 6. Postman / Insomnia

  • Ręczne testowanie API.
  • Iniekcja payloadów do nagłówków, ciał JSON, parametrów URL.

💼 Narzędzia płatne

💎 1. Burp Suite Professional

  • Zaawansowany skaner podatności Injection.
  • Automatyczna detekcja + inteligentny fuzzing.
  • Pluginy wspierające testy SQLi, Command Injection, GraphQL injection.

🔍 2. Acunetix / Invicti

  • Skanery dynamiczne (DAST) z silnym silnikiem SQLi/XXE/Commandi.
  • Wykrywanie + PoC (proof-of-concept) dla wielu rodzajów injection.

🧪 3. Checkmarx / Snyk Code / SonarQube (komercyjny)

  • SAST: statyczna analiza kodu pod kątem potencjalnych podatności injection.

🧠 Wskazówki

  • Łącz skanowanie dynamiczne (DAST) i statyczne (SAST).
  • W przypadku aplikacji API-first – korzystaj z Postman + Burp.
  • Regularnie przeglądaj zależności – injection może występować także w komponentach zewnętrznych.

W kolejnym kroku: 3.3.5 – Praktyczne ćwiczenie: Testowanie i mitigacja Injection