RSS

Herramientas para analizar problemas de inyeccion SQL

17 HERRAMIENTAS INDISPENSABLES PARA ANALIZAR PROBLEMAS DE INYECCION SQL

Siguiendo con el espíritu de colaboración que entregamos en seguridad-informatica.cl, a continuación transcribiré una lista con 15
herramientas indispensables para analizar y resolver problemas de
inyección SQL en distintos tipos de aplicaciones. Además agregaré 2
software extra que no están en la lista pero cumplen con la misma
función.

Esta lista fue publicada por Security Hacks.

Traducción literal:

Las aplicaciones Web permiten a los visitantes enviar y obtener datos desde y hacia una base de datos ubicada en Internet. Las bases de datos son el corazón de la mayoría de las aplicaciones Web. Ellas
almacenan los datos requeridos por las aplicaciones para entregar
contenido específico a los visitantes y proveer información a clientes,
proveedores, etc.

La inyección SQL es quizá la técnica más común de hacking a aplicaciones Web la cual tiene como objetivo transpasar comandos SQL directamente a la base de datos en el back-end utilizando como
plataforma la misma aplicación.

La vulnerabilidad se presenta cuando alguna entrada de usuario no valida correctamente los parámetros que se le entregan y por ende son ejecutados.

Buscar vulnerabilidades de tipo Inyección SQL implica tener que auditar sus aplicaciones Web y la mejor forma de hacerlo es utilizando para ello Scanners automatizados de Inyección SQL. Hemos compilado una
lista de Scanners SQL gratuitos los cuales creemos que serán de mucha
utilidad tanto para desarrolladores de aplicaciones Web como para
auditores de seguridad profesionales.

SQLIer – SQLIer toma una URL vulnerable e intenta obtener toda la información necesaria para explotar la vulnerabilidad de inyección SQL por si mismo, no requiriendo ninguna intervención del
usuario. Descargar SQLIer.

SQLbftools – SQLbftools consta de una colección de herramientas para obtener información de… MySQL disponible utilizando un ataque de inyección SQL ciega (blind SQL Injection). Descargar SQLbftools.

SQL Injection Brute-forcer – SQLibf es una herramienta para automatizar el proceso de detectar y explotar vulnerabilidades de inyección SQL. SQLibf puede trabajar en inyección ciega y visible.
Funciona ejecutando operaciones SQL lógicas para determinar el nivel de
exposición de la aplicación vulnerable. Descargar SQLLibfv.

SQLBrute – SQLBrute es una herramienta para extraer datos de las bases de dato mediante ataques de fuerza bruta usando vulnerabilidades de inyección SQL ciega. Soporta exploits basados en
tiempo y en error en un servidor Microsoft SQL., y exploits basados en
errores para Oracle. SQLBrute está escrito en Python, utiliza
multi-proceso y no requiere librerías no-estándar. Descargar SQLBrute.

BobCat – BobCat es una herramienta que permite ayudar a un auditor a tomar completa ventaja de las vulnerabilidades de inyección SQL. Está basado en AppSecInc. Puede listar los servidores enlazados,
esquemas (schema) de bases de datos y permite obtener datos de
cualquier tabla a la cual la aplicación tenga acceso. Descargar BobCat.

SQLMap – SQLMap es una herramienta de inyección SQL ciega automática, desarrollada en Python, es capaz de generar una huella digital activa del sistema de administración de bases de datos y mucho
más. Descargar SQLMap.

Absinthe – Absinthe es una herramienta basada en interfaz gráfica que automatiza el proceso de descargar el esquema y los contenidos de una base de datos que es vulnerabile a inyección SQL
ciega. Descargar Absinthe.

SQL Injection Pen-testing Tool – SQL Injection Tool es una utilidad basada en interfaz gráfica diseñada para examinar bases de datos através de vulnerabilidades en las aplicaciones Web. Descargar SQL Injection Pen-testing tool.

SQID – SQL Injection digger (SQLID) es un programa de línea de comandos que busca inyección SQL y errores comunes en sitios web. Descargar SQID.

Blind SQL Injection Perl Tool – bsqlbf es un script hecho en Perl que permite a un auditor obtener información de sitios webs que son vulnerables a inyección SQL. Descargar Blind SQL Injection Perl Tool.

SQL Power Injection Injector – SQL Power Injection ayuda a un auditor a inyectar comandos SQL en una página web. Su fuerza principal radica en la capacidad de automatizar inyecciones SQL tediosas
utilizando para ellos múltiples procesos. Descargar SQL Power Injection.

FJ-Injector Framework – FJ-Injector es un framework opensource diseñado para ayudar a encontrar vulnerabilidades SQL en aplicacion web. Incluye características de Proxy para interceptar y
modificar solicitudes HTTP y una interfaz para realizar explotación SQL
automática. Descargar FJ-Injector Framework.

SQLNinja – SQLNinja es una herramienta para explotar vulnerabilidades de inyección SQL en aplicaciones web que utilizan Microsoft SQL Server como su motor de base de datos. Descargar SQLNinja.

Automagic SQL Injector – Automagic SQL Injector es una herramienta de inyección SQL automatizada que fue diseñada para ahorrar tiempo en los tests de intrusión y solamente funciona con agujeros de
Microsoft SQL que devuelven errores. DescargarAutomagic SQL Injector.

NGSS SQL Injector – NGSS SQL Injector explota vulnerabilidades de inyección SQL en distintos servidores para obtener acceso a la data almacenada. Actualmente soporta las siguientes bases
de datos: Access, DB2, Informix, MSSQL, MySQL, Oracle, Sysbase. Descargar NGSS SQL Injector

Extras:
SQLix Sitio Web

Chorizo! Scanner Sitio Web

Fuente original: Security Hacks.

 

Estamos en Contacto

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 2.029 seguidores

%d personas les gusta esto: