- Katılım
- 14 Nisan 2026
- Mesajlar
- 6
- Tepkime puanı
- 5
- Puan
- 3
Merhabalar,
Kendi geliştirdiğim SQL Injection tespit aracının 5. ana versiyonunu paylaşıyorum. Araç tamamen açık kaynak ve ücretsiz.
**GitHub:** https://github.com/DobivornSec/dobivorn-sqli-detector
---
### Neden farklı?
Piyasada sqlmap gibi devasa araçlar varken neden yeni bir araç yazayım ki diye düşünebilirsiniz. Sebepleri şunlar:
1. **Hafif ve modüler** - sqlmap her şeyi yapar ama bazen bir aracın sadece SQLi bulması yeterlidir
2. **WAF odaklı** - Özellikle WAF tespiti ve bypass varyantları üzerine yoğunlaştım
3. **Geliştirilebilir** - Kod yapısı basit, istediğiniz gibi fork'layıp özelleştirebilirsiniz
4. **Türkçe döküman** - Tüm README Türkçe, herkes anlayabilir
---
### Teknik Özellikler
| Özellik | Açıklama |
|---------|----------|
| **SQLi tespiti** | Error-based, boolean-based, time-based |
| **WAF tespiti** | Status + block-page + header fingerprint |
| **WAF bypass** | Yorum, case-obfuscation, encoding varyantları |
| **POST desteği** | Form ve JSON body taraması |
| **Crawler** | Endpoint ve parametre keşfi |
| **Risk skoru** | 0-100 arası, bulgunun ciddiyetine göre |
| **Raporlama** | JSON ve CSV formatında çıktı |
| **Tarama modları** | strict / balanced / aggressive |
| **Proxy desteği** | Burp vb. ile entegre çalışabilir |
| **Rate limit** | Hedefi yormadan tarama |
---
### Kullanım
**Kurulum:**
```bash
git clone https://github.com/DobivornSec/dobivorn-sqli-detector
cd dobivorn-sqli-detector
pip install -r requirements.txt
Temel tarama:
bash
python3 sqli_detector.py "http://127.0.0.1:5000/user?id=1"
WAF odaklı tarama:
bash
python3 sqli_detector.py "http://127.0.0.1:5000/user?id=1" --waf-only -o rapor.json
POST form tarama:
bash
python3 sqli_detector.py "http://127.0.0.1:5000/login" --scan-post --data '{"user":"admin","pass":"123"}' -o rapor.json
Gelişmiş tarama:
bash
python3 sqli_detector.py "http://127.0.0.1:5000/user?id=1" \
--mode aggressive \
--risk-score \
--export-csv rapor.csv \
--crawl-depth 2 \
--max-urls 50 \
-o rapor.json
bash
python3 test_server.py
Açılan endpoint'ler:
text
[+] Zafiyet bulundu! userId: '
→ Parametre: userId
Payload: '
Tip: error-based
Kanıt: sql hatası tespit edildi
https://github.com/DobivornSec/dobivorn-sqli-detector
Kendi geliştirdiğim SQL Injection tespit aracının 5. ana versiyonunu paylaşıyorum. Araç tamamen açık kaynak ve ücretsiz.
**GitHub:** https://github.com/DobivornSec/dobivorn-sqli-detector
---
### Neden farklı?
Piyasada sqlmap gibi devasa araçlar varken neden yeni bir araç yazayım ki diye düşünebilirsiniz. Sebepleri şunlar:
1. **Hafif ve modüler** - sqlmap her şeyi yapar ama bazen bir aracın sadece SQLi bulması yeterlidir
2. **WAF odaklı** - Özellikle WAF tespiti ve bypass varyantları üzerine yoğunlaştım
3. **Geliştirilebilir** - Kod yapısı basit, istediğiniz gibi fork'layıp özelleştirebilirsiniz
4. **Türkçe döküman** - Tüm README Türkçe, herkes anlayabilir
---
### Teknik Özellikler
| Özellik | Açıklama |
|---------|----------|
| **SQLi tespiti** | Error-based, boolean-based, time-based |
| **WAF tespiti** | Status + block-page + header fingerprint |
| **WAF bypass** | Yorum, case-obfuscation, encoding varyantları |
| **POST desteği** | Form ve JSON body taraması |
| **Crawler** | Endpoint ve parametre keşfi |
| **Risk skoru** | 0-100 arası, bulgunun ciddiyetine göre |
| **Raporlama** | JSON ve CSV formatında çıktı |
| **Tarama modları** | strict / balanced / aggressive |
| **Proxy desteği** | Burp vb. ile entegre çalışabilir |
| **Rate limit** | Hedefi yormadan tarama |
---
### Kullanım
**Kurulum:**
```bash
git clone https://github.com/DobivornSec/dobivorn-sqli-detector
cd dobivorn-sqli-detector
pip install -r requirements.txt
Temel tarama:
bash
python3 sqli_detector.py "http://127.0.0.1:5000/user?id=1"
WAF odaklı tarama:
bash
python3 sqli_detector.py "http://127.0.0.1:5000/user?id=1" --waf-only -o rapor.json
POST form tarama:
bash
python3 sqli_detector.py "http://127.0.0.1:5000/login" --scan-post --data '{"user":"admin","pass":"123"}' -o rapor.json
Gelişmiş tarama:
bash
python3 sqli_detector.py "http://127.0.0.1:5000/user?id=1" \
--mode aggressive \
--risk-score \
--export-csv rapor.csv \
--crawl-depth 2 \
--max-urls 50 \
-o rapor.json
Test Ortamı
Aracın içinde kendi zafiyetli test sunucum da var. Hiçbir yere zarar vermeden test edebilirsiniz:bash
python3 test_server.py
Açılan endpoint'ler:
- http://127.0.0.1:5000/user?id=1 - SQLi test
- http://127.0.0.1:5000/waf-user?id=1 - Mock WAF testi
- http://127.0.0.1:5000/login - POST form testi
- http://127.0.0.1:5000/api/login - POST JSON testi
Canlı Test Sonucu
Aracı W3Schools'un SQLi eğitim sayfasında test ettim ve zafiyet tespit edildi:text
[+] Zafiyet bulundu! userId: '
→ Parametre: userId
Payload: '
Tip: error-based
Kanıt: sql hatası tespit edildi
Eksikler ve Gelecek Planları
- Multi-threading daha optimize edilebilir
- Daha fazla WAF bypass tekniği eklenecek
- GUI versiyonu düşünülüyor
Sorumluluk
Bu araç sadece yazılı izin aldığınız sistemlerde test amaçlı kullanılmalıdır. Yetkisiz kullanımdan yalnızca kullanıcı sorumludur.İletişim ve Katkı
- GitHub: https://github.com/DobivornSec
- Hata bulursanız issue açın
- Geliştirmek isterseniz PR gönderin
- Beğenirseniz star atmayı unutmayın
https://github.com/DobivornSec/dobivorn-sqli-detector
