jSQL Injection v0.112版本发布：增强盲注策略与数据库指纹识别

项目简介

jSQL Injection是一款开源的SQL注入测试工具，主要用于安全研究人员和渗透测试人员检测Web应用程序中的SQL安全问题。该工具支持多种数据库类型，提供了直观的图形界面，能够自动识别数据库类型并执行相应的测试策略。

版本亮点

盲注策略的重大改进

本次v0.112版本对盲注(Bind Injection)策略进行了全面优化：

1. 新增二进制搜索盲注策略：针对14种数据库系统实现了二进制搜索盲注技术，相比传统的逐位判断方法，二进制搜索能显著提高测试效率。

2. 策略重命名与优化：

   • 将原有的"Blind"策略更名为"Blind bitwise"(位运算盲注)
   • 改进了位运算盲注在处理超长字符时的加载性能
   • 修复了Multibit策略的若干问题

3. 扩展盲注支持范围：

   • 新增对4种数据库的Blind bit策略支持
   • 为6种数据库系统增强了盲注指纹识别能力

数据库指纹识别增强

1. 优化了供应商(vendors)排序的指纹识别算法，提高了数据库类型识别的准确性。

2. 改进了盲注可靠性，特别是在判断真实数据来源(true origin)方面有所增强。

功能修复与改进

1. 反向连接改进：优化了反向连接的socket连接稳定性，提高了远程控制的可靠性。

2. 结果处理修复：

   • 修复了Coder和Brute force模块中可编辑结果的问题
   • 解决了GUI在执行exploit和读取文件时可能出现的冻结问题

3. WebShell支持：为非Union策略添加了MySQL webshell功能，扩展了测试向量。

4. 日志记录改进：增强了盲注过程中特殊字符的日志记录能力，便于调试和分析。

5. 术语调整：将UDF提示从"rce"改为更准确的"udf"描述。

6. PostgreSQL修复：解决了PostgreSQL功能库删除操作的问题。

技术意义

v0.112版本的改进主要集中在盲注技术的深度优化和扩展上。盲注是SQL测试中一种重要的技术手段，特别是在目标系统不直接显示错误信息的情况下。通过引入二进制搜索算法，大大提高了数据提取的效率；而增强的指纹识别能力则使工具能够更准确地判断目标数据库类型，从而选择最优的测试策略。

对于安全研究人员而言，这些改进意味着：

1. 更高效的安全验证过程，特别是在时间敏感的测试场景中。
2. 更广泛的数据库支持，提高了工具的适用性。
3. 更稳定的操作体验，减少了工具本身导致的中断风险。

使用建议

对于已经使用jSQL Injection的安全团队，建议：

1. 尽快升级到v0.112版本以获取最新的盲注策略改进。
2. 针对不同的数据库类型，测试新旧版本在盲注效率上的差异。
3. 注意策略名称的变化，特别是"Blind"到"Blind bitwise"的改名，可能需要调整现有的测试流程。
4. 充分利用增强的日志功能来优化自定义测试脚本。

该版本体现了jSQL Injection项目持续优化核心测试技术的方向，为安全社区提供了更强大的SQL测试工具。