2.3 Pangolin
Pangolin(穿山甲)一款帮助渗透测试人员进行SQL注入测试的安全工具。它能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。Pangolin是目前国内使用率最高的SQL注入测试的安全软件,可以说是网站安全测试人员的必备工具之一。
1. 产品介绍
其特点如下。
- 全面的数据库支持。
- 独创的自动关键字分析功能可以使判断结果更准确。
- 独创的内容大小判断方法能够减少网络数据流量。
- 最大化的Union操作能够极大地提高SQL注入操作的速度。
- 预登录功能,在需要验证的情况下可以照样注入。
- 代理支持。
- 支持HTTPS协议。
- 自定义HTTP标题头功能。
- 丰富的绕过防火墙过滤功能。
- 注入站(点)管理功能。
- 数据导出功能。
支持的数据库如下。
- Access
- DB2
- Informix,
- MicrosoftSQL Server
- MySQL
- Oracle。
- PostgreSQL。
- Sqlite3。
- Sybase。
2.使用简介
打开Pangolin,在URL中输入可能存在SQL注入的地址,然后点击菜单栏下面的 开始按键,见41所示。
41 Pangolin配置界面
接下来选择注入参数类型和数据库,然后选择注入后想知道的信息,最后点击Information下的【Go】按键,经过测试完毕,信息即被显示出来,见42所示。
42 Pangolin信息显示界面
星云测试
奇林软件
联合通测
顾翔凡言:
图是软件项目三角形。
图 软件项目三角形
下面做如下假设。
l 假设质量(Q)与范围(S)不变,时间(T)减少的情形下,必须雇佣高水平的人员或者先进的技术,即增大产品的成本(C)。同理,质量(Q)与范围不变,时间(T)增加的情形下,可以减少成本(C)。
l 假设质量(Q)与时间(T)不变,范围(S)增加的情形下,也必须增大成本(C)。同理,质量(Q)与时间(T)不变,范围(S)减少的情形下,可以减少成本(C)。
l 假设质量(Q)与成本(C)不变,时间(T)减少的情形下,范围(S)必须减少。同理,质量(Q)与成本(C)不变,时间(T)增加的情形下,可以加大范围(S)。
于是可以得到如下公式:
Q = TC/S
也就是说质量消耗单位模块的时间和金钱的乘积。从这里可以看出,完成一个功能,需要达到一定的质量,必须消耗有效的时间或者增加产品的成本投入,由此可以看出为了赶进度,盲目加班赶工是不可取的。
