webapp-sqlmap
웹 앱 SQL 인젝션 테스트
SQL 인젝션 취약점은 웹 애플리케이션에 심각한 위험을 초래합니다. 이 스킬은 산업 표준 도구인 sqlmap을 사용하여 승인된 보안 평가를 위한 SQL 인젝션 결함의 자동화된 탐지 및 활용을 수행합니다.
Descargar el ZIP de la skill
Subir en Claude
Ve a Configuración → Capacidades → Skills → Subir skill
Activa y empieza a usar
Pruébalo
Usando "webapp-sqlmap". Test http://example.com/page?id=1 for SQL injection
Resultado esperado:
- Detection complete: Parameter 'id' is vulnerable to UNION-based SQL injection
- Database: MySQL 5.7
- Tables found: users, orders, products
- User table columns: id, username, email, password_hash
Usando "webapp-sqlmap". Run full database enumeration on http://example.com/api
Resultado esperado:
- Databases enumerated: 3 total
- Application database 'webapp' contains 12 tables
- Sensitive data locations: users.password, customers.credit_card
- Recommended remediation: Use parameterized queries
Usando "webapp-sqlmap". Test login form for auth bypass
Resultado esperado:
- Authentication bypass confirmed via boolean-based blind SQLi
- Current database user: app_admin@localhost
- Privilege level: SELECT, INSERT on webapp database
- Testing completed. Results logged to ~/.sqlmap/output/
Auditoría de seguridad
Riesgo altoThis skill wraps sqlmap, a legitimate open-source penetration testing tool. Static findings (273 patterns) are TRUE POSITIVES for security-relevant operations but represent intentional functionality for authorized security testing. The skill includes explicit authorization requirements and ethical use guidelines. SQL injection testing can be destructive to databases and requires strict authorization controls.
Factores de riesgo
⚙️ Comandos externos (1)
🌐 Acceso a red (1)
📁 Acceso al sistema de archivos (1)
🔑 Variables de entorno (1)
Puntuación de calidad
Lo que puedes crear
승인된 침투 테스트
클ient를 위한 보안 평가 중 승인된 SQL 인젝션 테스트 수행.
취약점 검증
정밀한 활용을 통해 자동화된 스캐너의 SQL 인젝션 발견 사항 검증.
코드 리뷰 검증
식별된 SQL 인젝션 취약점이 프로덕션과 유사한 환경에서 활용 가능한지 확인.
Prueba estos prompts
Use the webapp-sqlmap skill to test http://example.com/page?id=1 for SQL injection vulnerabilities. Report which injection techniques work.
Run sqlmap on http://example.com/api?id=1 to enumerate all databases and tables. List the database structure found.
Test the login form at http://example.com/login with POST data username=admin&password=test for SQL injection authentication bypass.
Conduct a full SQL injection assessment on http://example.com/search. Use level 5 and risk 3. Enumerate databases and extract user table data for reporting.
Mejores prácticas
- 테스트 전 시스템 소유자로부터 서면 승인 획득
- 잠재적 영향 이해를 위해 먼저 스테이징 환경에서 테스트
- 보고서를 위해 타임스탬프 및 증거와 함께 모든 발견 사항 문서화
- CI/CD 파이프라인에서 자동화된 테스트를 위해 --batch 플래그 사용
Evitar
- 명시적인 서면 승인 없이 시스템 테스트 금지
- 백업 없이 프로덕션 데이터베이스에서 --dump-all 사용 금지
- 业务 피크 시간대에 집약적인 테스트 실행 금지
- 승인 확인 워크플로우 단계 건너뛰기 금지