概述
Pangolin能夠通過一系列非常簡單的操作,達到最大化的攻擊測試效果。它從檢測注入開始到最後控制目標系統都給出了測試步驟。Pangolin是目前國內使用率最高的SQL注入測試的安全軟體,可以說是網站安全測試人員的必備工具之一。
注入測試
所謂的SQL注入測試就是通過利用目標網站的某個頁面缺少對用戶傳遞參數控制或者控制的不夠好的情況下出現的漏洞,從而達到獲取、修改、刪除數據,甚至控制資料庫伺服器、Web伺服器的目的的測試方法。過去有許多Sql注入工具,不過有些功能不完全,支持的資料庫不夠多,或者是速度比較慢。但是,在Pangolin發布以後,這些問題都完滿的解決,這也是它能夠獲得安全測試人員青睞的原因之一。
功能特點
功能
1、滲透測試人員用於發現目標存在的漏洞並評估漏洞可能產生後果的嚴重程度;
2、網站管理員可以用於對自己開發的代碼進行安全檢測從而進行修補;
3、 安全技術研究人員能夠通過穿山甲來更多更深入的理解SQL注入的技術細節。
特點
* 全面的資料庫支持
* 獨創的自動關鍵字分析能夠減少人為操作且判斷結果更準確
* 獨創的內容大小判斷方法能夠減少網路數據流量
* 最大化的Union操作能夠極大的提高SQL注入操作速度
* 預登入功能,在需要驗證的情況下照樣注入
*代理支持
* 支持HTTPS
* 自定義HTTP標題頭功能
* 豐富的繞過防火牆過濾功能
* 注入站(點)管理功能
* 數據導出功能
資料庫
Pangolin 支持資料庫類型都是國內外主流使用的資料庫類型,包括:
Access,
DB2,
Informix,
Microsoft SQL Server 2000,
Microsoft SQL Server 2005,
Microsoft SQL Server 2008,
Mysql,Oracle,
PostgreSQL,
Sqlite3,Sybase。
新版本
更新如下:
a) Mysql獲取速度在大於4.x版本的快速模式下提速10倍
b) 加快Microsoft SQL Server 2005/2008獲取數據的速度, 提速10倍
c) 增強Informix資料庫的注入能力
d) 增加手動選擇關鍵字的功能
e) 修復在byte-by-byte模式下獲取數據不全的問題
f) 增強注入判斷能力,預先分析合適的Cookie進行測試
g) 增加Pangolin的命令行參數,增加語言選項
h) 修復長URL的崩潰錯誤
i) 修復"受限制的站點"中的URL無法使用Pangolin預登入
j) 修復在進行內容管理時報錯BUG
k) 修復Pangolin "Read Session" 功能異常
l) 修復一些記憶體泄露問題
命名由來
Pangolin翻譯成中文即為穿山甲。之所以取名為穿山甲,是因為網路安全通常都伴隨著網路防火牆,只允許極少數的業務連線埠開放。而SQL注入正是這樣的一個攻擊途徑,他的動作就像穿山甲一樣會“打洞”。能夠穿越看似強大的目標。這也是網路安全的現狀。