jSQL Injection v0.110 版本发布：数据库安全测试工具的重大升级

jSQL Injection 是一款开源的数据库安全测试工具，主要用于检测和分析 SQL 查询问题。作为渗透测试人员和安全研究人员的利器，它支持多种数据库类型，包括 MySQL、PostgreSQL、Oracle、SQL Server 等，提供了从问题检测到分析的一整套解决方案。

最新发布的 v0.110 版本带来了多项重要更新，特别是在数据库远程操作能力方面的增强，以及对更多数据库类型的支持。本文将详细介绍这一版本的主要技术改进和新特性。

数据库问题分析能力增强

本次更新在数据库问题分析方面做了显著改进，特别是针对 PostgreSQL 和轻量级数据库的远程操作能力：

1. PostgreSQL 操作新增三种方式：

   • WAL(Write-Ahead Logging)技术应用：通过 PostgreSQL 的预写日志机制实现远程操作
   • 程序调用：直接通过特定函数执行系统操作
   • 扩展应用：支持通过 Tcl、R 和 Lua 等脚本语言扩展实现操作

2. 轻量级数据库支持：

   • 新增对 H2 和 HSQLDB 数据库的支持，包括特征识别、文件访问以及通过 PJBS 桥接技术实现的 Web 接口上传
   • 新增 Derby 数据库的问题分析、特征识别和文件访问功能
   • 增加了 SQLite 通过扩展访问文件的能力

功能优化与改进

除了新增功能外，v0.110 版本还对现有功能进行了多项优化：

1. SQL 引擎改进：

   • 将问题分析查询语句暴露给 SQL 引擎(只读模式)，便于安全研究人员分析
   • 减少了 Oracle 字符串聚合的大小限制，提高了查询效率

2. 用户体验提升：

   • 文件访问失败时显示部分内容，而非完全失败，便于调试
   • 改进了请求和头部扩展参数的显示方式
   • 简化了问题分析选择流程
   • 启动时自动聚焦地址栏，提升操作效率

3. 国际化支持：

   • 改进了西班牙语(i18n)的翻译质量

问题修复与精简

开发团队在此版本中也解决了一些已知问题并精简了部分功能：

1. 移除了实际不可操作的 Oracle 远程操作功能，保持工具的精简和准确性
2. 修复了 #96020 问题：解决了 getItem() 方法可能导致的 OutOfBoundsException 异常

技术意义与应用场景

jSQL Injection v0.110 的发布对于安全测试领域具有重要意义。新增的数据库支持特别是轻量级数据库的分析能力，填补了市场工具的空白。PostgreSQL 多种操作方式的实现，为安全研究人员提供了更多测试方法。

这些改进使得 jSQL Injection 能够：

• 更全面地覆盖企业环境中常见的数据库类型
• 提供更深入的问题分析能力，特别是远程操作
• 提升测试效率，减少误判和漏判
• 为安全团队提供更准确的问题验证手段

对于安全从业人员来说，这一版本的发布意味着在进行数据库安全评估时有了更强大的工具支持，能够更有效地发现和分析数据库层面的潜在问题。