Havij是來自國外的一款經典實用，功能強大的SQL注入檢查工具，它一個自動化的SQL注入工具，可幫助滲透測試人員在網頁上查找和利用SQL注入漏洞。Havij可以利用易受攻擊的Web應用程序。 通過使用該軟件，用戶可以執行后端數據庫指紋識別，檢索DBMS用戶和密碼哈希，轉儲表和列，從數據庫獲取數據，執行SQL語句甚至訪問底層文件系統并發出操作系統級命令。

havij特色

1、軟件經常更新，功能全面。

2、軟件體積小巧，操作簡單。

3、havij適用于各個階段的網絡工程師。

4、只需要注冊控件即可使用。

havij功能

1、Havij正式版支持數據庫與注入方法

MSSQL 2000 / 2005錯誤

MSSQL 2000 / 2005無錯誤聯盟總部

MSSQL盲

MSSQL時基

基于MySQL的聯盟

MySQL盲

基于MySQL的錯誤

MySQL的時間

基于Oracle的聯盟

基于Oracle錯誤

Oracle盲

基于PostgreSQL的聯盟

基于MS訪問聯盟

MS Access盲

Sybase(ASE)

Sybase(ASE)Blind

2、HTTPS支持

3、多線程

4、代理支持

5、自動信息服務器檢測

6、自動參數類型檢測(字符串或整數)

7、自動關鍵詞檢測(發現正面和負面的反應之間的區別)

8、自動掃描所有參數。

9、嘗試完全不同的注射方法

10、替代房屋的選擇，…針對IDS或過濾器

11、避免開發字符串(繞過magic_quotes和類似的過濾器)

12、手動注入語法支持

13、手動查詢結果

14、強迫法外聯盟

15、隨機信號發生器

16、完全可定制的協議頭(如參考，用戶代理…)

17、從網站加載Cookie(s)進行身份驗證

18、加載HTML類型的輸入

19、協議基本和摘要認證

20、注入統一資源定位器重寫頁面

21、繞過防火墻和類似防火墻ModSecurity的互聯網應用

22、繞過webknight互聯網應用防火墻和類似防火墻

23、即時結果

havij下載安裝步驟

1、下載軟件壓縮包文件，首先點擊“Havij 1.17 Pro.exe”進行原版安裝

2、閱讀并同意軟件安裝協議

3、設置軟件安裝根目錄

4、核對安裝信息，確認無誤后點擊【Install】按鈕繼續

5、完成后，先不要運行程序，直接點擊【Finish】按鈕結束即可

havij使用教程

havij怎么使用？

為了獲得更可靠的結果，默認情況下havij采用隨機簽名的每一次。如果你需要改變默認的行為，你改變設置中的高級閃避標簽從。禁用使用隨機簽名，并輸入您的自定義簽名為不同的數據庫服務器，或點擊在每個簽名字段前面的按鈕，以使用所提供的隨機簽名發生器。

盲目注射havij發現每個字符的二進制數據的試驗和錯誤的方法被稱為區間二分法。這havij用途可改變字符范圍。您可以在“設置”視圖中使用“盲注入字符ASCII集”選項更改當前字符范圍。

此選項定義基于時間的注入方法的毫秒延遲。如果它被設置為“自動”，havij會自動選擇最合適的延遲值。

你可以設置一個表名列表時使用havij不能提取表名和表必須嘗試猜測的方法。默認的列表包括在Havij的安裝目錄。您可以在“設置”視圖的“盲”選項卡中指定自定義列表。

你可以設置列表的列名稱時要使用havij不能提取列名必須嘗試猜測的方法。默認的列表包括在Havij的安裝目錄。您可以在“設置”視圖的“盲”選項卡中指定自定義列表。

havij常見問題

什么是SQL注入？

所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。具體來說，它是利用現有應用程序，將（惡意）的SQL命令注入到后臺數據庫引擎執行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網站上的數據庫，而不是按照設計者意圖去執行SQL語句。比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式攻擊．

havij更新日志

轉儲全部

一種新的基于插入語句的MySQL旁路方法

為MSSQL和MySQL添加文件特征。

加載HTML表單輸入

隨機簽名發生器

以CSV格式保存數據

設置中的高級閃避選項卡

注入標簽設置

“用戶現在可以改變不存在的注入值(默認值為999999。9)。

“注釋標記“可由用戶更改(默認值為--))

禁止/啟用日志記錄

修正：在表樹視圖中添加手動數據庫

修正：在PostgreSQL中找到字符串列

修正：MS Access盲字符串類型數據抽取

修正：MSSQL基于錯誤的方法失敗時自動檢測

修正：所有數據庫盲方法重試失敗

修正：在基于MySQL的時間注入中猜列/表

修正：翻轉文件時崩潰

修正：加載項目注入類型(整數或字符串)

修正：HTTPS多線程錯誤

修正：MsSQL 2005中的命令執行

小編寄語

havij是一款簡單實用的sql數據庫自動化注入工具，havij集成了自動參數類型檢測、自動關鍵詞檢測以及手動注入語法支持等功能，能夠滿足不同階段的網絡工程師使用。