Links

历史

译自:History

2022

2021

2020

  • 十一月 7 日,Miroslav 在 Bsides Chile 2020(在线)上做了题为 sqlmap - “每次一小步” 的分享(幻灯片)。
  • 一月 1 日,发布稳定版本 1.4变更集问题列表)。

2019

  • 三月 8 日完成对 Python 3 的支持。
  • 一月 5 日,发布稳定版本 1.3变更集)。

2018

2017

2016

2015

  • 十月 14 日,Miroslav 在 Albacete,Spain 举行的 Navaja Negra & ConectaCon 大会上提出了为什么(而不是如何)sqlmap 有效?幻灯片)。

2014

  • 解决前 1000Issue

2013

  • 九月 19 日,Miroslav 在 Varazdin,Croatia 举行的 FSEC 2013 上分享了 sqlmap 中的启发式方法幻灯片)。
  • 五月 23 日,Miroslav 在 Moscow,Russia PHDays 2013 上为我们带来了 presents sqlmap - 内部实现幻灯片)。

2012

  • 六月 26 日,sqlmap 代码库迁移GitHub,并更新主页。也公开了代码问题追踪。同时移除了原先在 SourceForge 上的 SVN 代码仓库。
  • 五月 31 日,在 Moscow,Russia 举行的 PHDays 2012 大会上,Miroslav 带来基于 sqlmap 的 DNS 渗透研究报告(幻灯片),同时还有基于 SQL 注入攻击的数据获取白皮书

2011

  • 十二月,在这一年中,sqlmap 新增了很多新的功能特性,同时修复了数百个 bugs。
  • 九月 23 日,在 Varazdin,Croatia 举行的 FSec - FOI Security Symposium 大会上,Miroslav 带来基于 从'(攻击者眼中的 SQL 注入)说起主题演讲(幻灯片),讲解了常见 SQL 注入攻击中使用的攻击方法。
  • 六月 23 日,在 Firenze, Italy 的 EuroPython 2011 大会上,Miroslav 带来 sqlmap - Python 安全领域的发展幻灯片),讲解了 sqlmap 的内部实现。
  • 四月 10 日Bernardo 和 Miroslav 发布了 sqlmap 0.9 版本,重写了整个 SQL 注入检测引擎,能够直连数据库服务器,同时支持了时间型盲注(Time-based blind)和报错型注入(Error-based),并支持了四种新的 DBMS(Database Management System,数据库管理系统)。

2010

  • 十二月Bernardo and Miroslav 为了在 2011 年第一季度 发布 sqlmap 0.9 版本,为 sqlmap 增强了很多新的特性。
  • 六月 3,在 Athens(Greece)举行的 AthCon 2010 大会上,Bernardo 带来标题为**入侵数据库?掌控整个网络!**的演讲。
  • 三月 14 日Bernardo 和 Miroslav 发布 sqlmap 0.8 稳定版本,增加了很多新特性。众多新特性中,包括了枚举数据库数据表,导出用户指定的数据表等功能,同时版本更加稳定并增强了其渗透功能。同时更新了对 Metasploit 3.3.3 的支持,及其他的功能添加和 bug 修复。
  • 三月发布了 sqlmap 的示例视频。
  • 一月,Bernardo 被将于 Greece,2010 年六月举行的 AthCon大会邀请进行演讲。

2009

  • 十二月 18 日Miroslav Stampar 响应了众多开发者的号召。跟 Bernardo 一起,积极参与 sqlmap 0.8 第 2 候选版本开发。
  • 十二月 12 日,Bernardo 在邮件列表中发布了一封标题为 sqlmap 3 年内的顶尖水平的邮件,强调了三年内 sqlmap 所要达到的目标,并且向所有开发者发起了号召。
  • 十二月 4 日,sqlmap-devel 邮件列表并入 sqlmap-users 邮件列表
  • 十一月 20 日,在 Warsaw,Poland 举行的 CONfidence 2009 大会上,Bernardo 和 Guido 发表了他们关于数据库服务器渗透方面的研究。
  • 九月 26 日,在 SOURCE Barcelona 2009 大会上,sqlmap 公布了托管在 SVN 仓库 上的 0.8 第 1 候选 版本,公开了大量的攻击工具。包括能够自动绕过 Microsoft SQL Server DEP 内存保护的缓冲区溢出攻击工具,支持通过 UDF sys_bineval()(反取证技术)在内存中执行 Metasploit shellcode,从而与目标数据库服务器建立带外连接,支持对 Windows 注册表进行读写,并支持用户自定义函数注入。
  • 九月 21 日,在 2009 年 Barcelona,Spain 举行的 SOURCE 大会上,Bernardo 和 Guido Landi 发布 了他们的研究(幻灯片)。
  • 八月,Bernardo 被邀请为 SOURCE Barcelona 2009CONfidence 2009 Warsaw 两个 IT 安全大会的演讲者。新的研究课题是如何通过数据库进一步控制操作系统
  • 七月 25 日,sqlmap 0.7 稳定版本发布!
  • 六月 27 日,在 Lisbon,Portugal 举行的 2nd Digital Security Forum 大会上,Bernardo 发布了新版本的 SQL 注入:不只是 AND 1=1 幻灯片。
  • 六月 2 日,sqlmap 0.6.4 版本被添加到 Ubuntu 的官方仓库中。
  • 五月,在 Warsaw,Poland 举行的 OWASP AppSec Europe 2009 和 London,UK 的 EUSecWest 2009 大会上,Bernardo 发表了通过 SQL 注入入侵操作系统的相关研究。
  • 五月 8 日,sqlmap 0.6.4 版本被添加到 Debian 官方仓库中。详情看这篇博客
  • 四月 22 日,在 Black Hat Europe 2009 大会上,sqlmap 0.7 第 1 候选 版本发布,公布了很多攻击工具。这些工具支持在目标系统执行任意的命令,通过集成 Metasploit 支持与目标数据库服务器建立起 TCP 带外连接,首次公布针对 Microsoft SQL Server 2000 和 2005 的 Microsoft Security Bulletin MS09-004 的利用,并且支持数据库服务器的入侵控制,而不仅仅是获取数据库中的数据。
  • 四月 16 日,Bernardo 在 Amsterdam,Netherlands 举行的 Black Hat Europe 2009 大会上发表了他的研究(幻灯片白皮书)。听众的反馈十分不错,同时还有相关的媒体报导
  • 三月 5 日,2009 年在 Amsterdam 举行的 Black Hat Europe 以及在 Denver,USA 举行的 Front Range OWASP 大会上,Bernardo 首次 展示 了 sqlmap 的新特性和近期会支持的新功能。分享的主题为 SQL 注入:不只是 AND 1=1
  • 二月 24 日,Bernardo 被邀请到 Black Hat Europe 2009 做相关的 演讲,主题是利用高级 SQL 注入完全控制操作系统
  • 二月 3 日,sqlmap 0.6.4 版本是 0.6 系列的最后一个版本:通过利用 0.6.3 版本实现的堆叠查询(Stacked queries)功能,sqlmap 能够执行任意的 SQL 语句,不再局限于 SELECT 语句。同时,在这次版本发布中,许多新的功能特性变得更加稳定,执行效率有了很大的提升。
  • 一月 9 日,Bernardo 在 London,UK 的分享会上 演讲了 SQL 注入利用内部实现

2008

  • 十二月 18 日,sqlmap 0.6.3 版本发布,支持从 Burp 和 WebScarab 代理日志文件获取目标,支持对堆叠查询的测试和时间型盲注的 SQL 注入,更多业内使用的 Web 服务器和 Web 应用技术指纹信息识别技术,支持 HTTP 请求自定义及枚举数据库的相关信息功能。
  • 十一月 2 日,sqlmap 0.6.2 版本只是“bug 修复”版本。
  • 十月 20 日,sqlmap 0.6.1 版本正式发布,这个版本包含部分 bug 修改,及添加了用于连接 Metasploit 的工具:用于在 Metasploit 中打开 sqlmap 的辅助工具。SVN 代码仓库重新对大众开放。
  • 九月 1 日,在上次版本发布后的一年后,sqlmap 0.6 经历了完全的代码重构,支持执行任意的 SQL SELECT 语句,同时添加了支持枚举和导出特定数据的相关参数,更新了 Debian,Red Hat,Windows 下相关的软件安装包。
  • 八月,在 SourceForge 上创建了两个公共邮件列表
  • 一月,sqlmap SVN 代码仓库被从 SourceForge 移除,临时成为私有仓库。

2007

  • 十一月 4 日,版本 0.5 的发布标志着 OWASP Spring of Code 2007 比赛的结束。Bernardo 完成了 之前提出的所有目标,包括添加对 Oracle 的相关支持,联合查询 SQL 注入的功能增强,以及 HTTP Cookies 和 User-Agent 的注入分析测试。
  • 六月 15 日,Bernardo 在 OWASP Spring of Code 2007 里程碑结束后发布了 sqlmap 0.4 版本。相对之前的版本,该版本提升了 DBMS 指纹信息识别功能,支持估算数据从目标数据库服务器返回时间和枚举特定数据的相关参数,同时配备了全新的日志系统。
  • 四月,虽然 sqlmap 并不是一个 OWASP 项目,不过在众多 OWASP Spring of Code 2007 的开源项目的竞争下,sqlmap 仍然申请 成功
  • 三月 30 日,Bernardo 申请了 OWASP Spring of Code 2007 比赛。
  • 一月 20 日,sqlmap 0.3 版本发布,开始支持 Microsoft SQL Server,支持 联合查询 SQL 注入和 POST 参数注入等相关测试和渗透功能。

2006

  • 十二月 13 日,Bernardo 发布了 sqlmap 0.2 版本,该版本增强了 DBMS 的指纹信息识别功能,同时将原先内部实现的推导算法换成了二分算法。
  • 九月,Daniele 离开项目,Bernardo Damele A. G. 接手了项目。
  • 八月,Daniele 为 PostgreSQL 添加了相关的支持并发布了 0.1 版本。
  • 七月 25 日Daniele Bellucci 在 SourceForge 上添加了 sqlmap 项目,并使用 SourceForge SVN 仓库 进行代码托管。基本的架构成型,只支持 MySQL 相关功能。