四、SQL Power Injector

　　SQL Power Injector可帮助渗透测试人员找到并利用网页上的漏洞。目前，它支持SQL Server、Oracle、MYSQL、Sybase/Adaptive Sever和DB2等数据库，但在使用inline注入时，还可借助现有的数据库管理系统来使用此软件。

　　其自动化的工作模式以两种方式进行，一是比较期望的结果，二是根据时间延迟。

　　其工作状态如图2：

　　图2

　　五、SQLNinja：

　　Sqlninja可以利用以SQL Server为后端数据支持的应用程序的漏洞，其主要目标是提供对有漏洞的数据库服务器的远程访问。Sqlninja的行为受到配置文件的控制，它告诉了Sqlninja攻击的目标和方式，还有一些命令行选项。比如，有如下一些命令选项：

　　－m<攻击模式>,其攻击模式有测试（test）、指纹识别（fingerprint）、强力攻击（bruteforce）等；

　　其它的命令选项，-v : 指明进行详细输出；-f<配置文件>：指明一个使用的配置文件。-w<单词列表>指明以强力攻击模式使用的单词列表。

　　如图3是运行过程界面：