Qual è il modo migliore per testare le vulnerabilità di SQL Injection? Manuale o SQLMap?

L'uso di SQLMap sarà utile, poiché analizza le vulnerabilità più note e ti farà risparmiare tempo ed efficienza. Ma la più grande minaccia è l'immaginazione e l'abilità di hacker di sfruttare qualcosa di più complesso e insolito di quanto SQLMap possa trovare. Per me, il modo migliore per verificare le vulnerabilità di SQL injection e ancora più tipi di vulnerabilità è pensare subito. Diventa l'attaccante, non il difensore. Questi strumenti (come SQLMap) fanno parte della soluzione, ma non la soluzione.

Penso che dovresti controllare manualmente le vulnerabilità di SQL Injection, perché hai più probabilità di rilevare una vulnerabilità, inoltre acquisisci più esperienza come professionista della sicurezza delle informazioni. D'altra parte, non è opportuno fidarsi di strumenti come SQLMap; in primo luogo, uno strumento non ha l'esperienza e la conoscenza di un essere umano, uno strumento è limitato a utilizzare diversi tipi di esplosioni di SQL Injection, quindi se si rileva una vulnerabilità di SQL Injection manualmente, è possibile acquisire dati da utilizzare in un processo automatizzato con SQLMap, in questo modo, è possibile sfruttare le proprie conoscenze per rilevare le vulnerabilità di SQL Injection e come utilizzare SQLMap per scopi specifici; in secondo luogo, l'utilizzo di SQLMap senza una revisione manuale precedente potrebbe essere pericoloso, poiché SQL Injection potrebbe far parte di qualsiasi istruzione di inserimento, eliminazione o aggiornamento, quindi se non si configura correttamente SQLMap, è possibile interrompere l'integrità del database. Ricorda che SQLMap e altri software simili sono solo strumenti e devi acquisire le conoscenze necessarie per utilizzarli correttamente.