Pangolin是什么？

Pangolin是一款幫助滲透測試人員進行Sql注入測試的安全工具。

所謂的SQL注入測試就是通過利用目標(biāo)網(wǎng)站的某個頁面缺少對用戶傳遞參數(shù)控制或者控制的不夠好的情況下出現(xiàn)的漏洞，從而達到獲取、修改、刪除數(shù)據(jù)，甚至控制數(shù)據(jù)庫服務(wù)器、Web服務(wù)器的目的的測試方法。

Pangolin能夠通過一系列非常簡單的操作，達到最大化的攻擊測試效果。它從檢測注入開始到最后控制目標(biāo)系統(tǒng)都給出了測試步驟。

過去有許多Sql注入工具，不過有些功能不完全，支持的數(shù)據(jù)庫不夠多，或者是速度比較慢。但是，在Pangolin發(fā)布以后，這些問題都得到了解決。Pangolin也許是目前已有的注入工具中最好的之一。

 使用Pangolin可以用來做什么

如下是一些示例：

滲透測試人員用于發(fā)現(xiàn)目標(biāo)存在的漏洞并評估漏洞可能產(chǎn)生后果的嚴(yán)重程度

網(wǎng)站管理員可以用于對自己開發(fā)的代碼進行安全檢測從而進行修補

安全技術(shù)研究人員能夠通過Pangolin來更多更深入的理解SQL注入的技術(shù)細節(jié)

特色

如下是Pangolin提供的一部分特點：

全面的數(shù)據(jù)庫支持

獨創(chuàng)的自動關(guān)鍵字分析能夠減少人為操作且更判斷結(jié)果準(zhǔn)確

獨創(chuàng)的內(nèi)容大小判斷方法能夠減少網(wǎng)絡(luò)數(shù)據(jù)流量

最大話的Union操作能夠極大的提高SQL注入操作速度

預(yù)登陸功能，在需要驗證的情況下照樣注入

代 理 支持

支持HTTPS

自定義HTTP標(biāo)題頭功能

豐富的繞過防火墻過濾功能

注入站（點）管理功能

數(shù)據(jù)導(dǎo)出功能

……等其他更多

 它不能做什么

Pangolin只是一個注入驗證利用工具，不是一個Web漏洞掃描軟件。因此您不能用它來做整網(wǎng)站的掃描。

另外，他也不支持注入目錄遍歷等功能，這些功能您可以借助其他的安全工具進行。

到哪里獲取Pangolin

Pangolin的更新速度很快，你可以經(jīng)常到http://www.nosec.org/web/pangolin去下載最新版本。

運行環(huán)境

目前Pangolin只能運行在Windows系統(tǒng)平臺，支持32位/64位Windows NT/2000/XP/2003/Vista/2008。