技能 sqlmap-database-pentesting

📦

sqlmap-database-pentesting

Name: sqlmap-database-pentesting
Author: sickn33

低风险 ⚙️ 外部命令🌐 网络访问

SQL 인젝션 테스트 자동화

이 스킬은 공인된 침투 테스트 동안 웹 애플리케이션의 SQL 인젝션 취약점을 탐지하고 악용하기 위한 포괄적인 sqlmap 명령어와 방법론을 제공합니다.

支持: Claude Codex Code(CC)

⚠️ 68 差

下载技能 ZIP

在 Claude 中上传

前往设置 → 功能 → 技能 → 上传技能

开启并开始使用

测试它

正在使用“sqlmap-database-pentesting”。 http://testphp.vulnweb.com/artists.php?artist=1 에서 sqlmap 기본 스캔 실행

预期结果:

sqlmap 이 다음과 같은 인젝션 포인트를 식별했습니다:

파라미터: artist (GET)
유형: boolean-based blind
제목: MySQL boolean-based blind - WHERE 절
페이로드: artist=1 AND 5737=5737

데이터베이스: acuart
사용 가능한 데이터베이스 [4]:
* information_schema
* acuart
* mysql
* test

正在使用“sqlmap-database-pentesting”。 users 테이블에서 사용자 자격 증명 추출

预期结果:

正在使用“sqlmap-database-pentesting”。 sqlmap 사용에 대한 법적 요구사항은 무엇인가요?

预期结果:

sqlmap 사용에 대한 법적 요구사항:

1. 서면 승인: 시스템 소유자로부터 명시적인 서면 허가를 받은 경우에만 테스트
2. 범위 제한: 참여 규칙에 정의된 범위를 준수
3. 문서화: 모든 테스트 활동과 결과를 문서화
4. 책임 있는 공개: 시스템 소유자에게 취약점 보고
5. 법적 경고: 알 수 없는 사이트에 대한 Google dork 공격은 불법입니다

安全审计

低风险

v1 • 2/25/2026

This skill provides documentation for sqlmap, a legitimate open-source penetration testing tool. The detected patterns (external_commands, network URLs) are all documentation examples showing command syntax. Contains appropriate legal warnings about authorization requirements. All static findings are false positives - no actual command execution or unauthorized network activity.

已扫描文件

406

分析行数

发现项

审计总数

中风险问题 (1)

SKILL.md:19-400

External Command Examples in Documentation

The skill contains 93 examples of sqlmap command syntax using backtick formatting. These are documentation examples, not actual command execution. sqlmap is a legitimate OWASP-recognized penetration testing tool.

低风险问题 (1)

SKILL.md:41-300

Example URLs in Documentation

The skill contains example URLs like http://target.com and test URLs. These are standard documentation placeholders, not actual network targets.

风险因素

⚙️ 外部命令 (1)

SKILL.md:19

🌐 网络访问 (1)

SKILL.md:41

审计者: claude

质量评分

架构

100

可维护性

内容

社区

安全

规范符合性

你能构建什么

웹 애플리케이션 보안 테스트

보안 전문가는 이 스킬을 사용하여 공인된 침투 테스트 동안 웹 애플리케이션의 SQL 인젝션 취약점을 체계적으로 테스트합니다.

데이터베이스 취약점 평가

개발자와 보안 팀은 공격자가 악용하기 전에 애플리케이션의 SQL 인젝션 취약점을 식별하고 검증하기 위해 sqlmap 을 사용합니다.

보안 교육 및 훈련

보안 트레이너는 제어된 환경에서 sqlmap 을 사용하여 개발자에게 SQL 인젝션 위험과 안전한 코딩 관행을 가르칩니다.

试试这些提示

기본 SQL 인젝션 스캔

sqlmap 을 실행하여 http://example.com/page.php?id=1 이 SQL 인젝션에 취약한지 확인하세요. 비대화형 출력을 위해 배치 모드를 사용하세요.

데이터베이스 열거

sqlmap 을 사용하여 대상 http://example.com/login.php 의 모든 데이터베이스를 열거하세요. 이 시스템을 테스트할 서면 승인을 받았습니다.

사용자 자격 증명 추출

sqlmap 을 사용하여 webapp 데이터베이스에서 users 테이블을 추출하세요. username 및 password 열을 덤프하세요.

WAF 보호 우회

대상이 WAF 뒤에 있습니다. tamper 스크립트를 사용하여 sqlmap 으로 보호를 우회하는 방법을 보여주세요.

最佳实践

시스템 테스트 전에 항상 서면 승인을 받으세요
저위험 옵션으로 시작하여 필요한 경우에만 에스컬레이션하세요
자동화된 비대화형 스캔을 위해 --batch 모드를 사용하세요
모든 결과를 문서화하고 테스트 활동의 감사 추적 자료를 유지하세요

避免

명시적인 승인 없이 시스템 테스트
영향을 이해하지 못한 채 프로덕션 시스템에서 --risk=3 또는 --level=5 사용
무작위 대상을 찾기 위해 Google dork 에 sqlmap 실행
참여 규칙의 법적 요구사항과 범위 제한 무시

常见问题

sqlmap 이란 무엇인가요?

sqlmap 은 SQL 인젝션 결함을 탐지하고 악용하는 프로세스를 자동화하는 오픈소스 침투 테스트 도구입니다. OWASP 에서 표준 보안 테스트 도구로 인정하고 있습니다.

sqlmap 사용은 합법인가요?

sqlmap 은 소유하거나 테스트할 명시적인 서면 승인을 받은 시스템에서 사용할 경우 합법적입니다. 허가 없이 시스템을 사용하는 것은 불법입니다.

sqlmap 은 어떤 데이터베이스를 지원하나요?

sqlmap 은 MySQL, PostgreSQL, Microsoft SQL Server, Oracle, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, HSQLDB 및 Informix 를 지원합니다.

--dump 와 --dump-all 의 차이점은 무엇인가요?

--dump 는 지정한 특정 테이블의 데이터를 추출하는 반면, --dump-all 은 대상 데이터베이스의 모든 테이블에서 데이터를 추출합니다.

sqlmap 사용 시 WAF 를 우회하려면 어떻게 하나요?

space2comment, between, randomcase 등의 스크립트와 함께 --tamper 옵션을 사용하세요. 요청 사이에 지연을 추가하려면 --delay 를 사용할 수도 있습니다.

--os-shell 은 무엇을 하나요?

--os-shell 은 데이터베이스 사용자가 DBA 권한을 가지고 있고 기본 데이터베이스 설정에서 허용할 경우 대상 서버에서 대화형 운영체제 셸을 확보하려고 시도합니다.

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/sqlmap-database-pentesting

引用

main

文件结构

📄 SKILL.md