10 Aplicaciones OpenSource para SQL Injection


La inyección SQL es quizá la técnica más común de hacking a aplicaciones Web la cual tiene como objetivo ejecutar comandos SQL directamente a la base de datos en el back-end utilizando la misma aplicación.

La vulnerabilidad se presenta cuando alguna entrada de usuario no valida correctamente los parámetros que se le entregan y por ende son ejecutados.


Buscar vulnerabilidades de tipo SQL Injection implica tener que auditar sus aplicaciones Web y la mejor forma de hacerlo es utilizando para ello Scanners automatizados.
Aquí una lista de 10 herramientas gratuitas y de código abierto para automatizar este proceso:

1.SQLIer

SQLIer toma una URL vulnerable e intenta obtener toda la información necesaria para explotar la vulnerabilidad de inyección SQL por si mismo, no requiere ninguna intervención del usuario.
Descargar SQLIer


2.SQL Injection Brute-forcer

SQLibf puede trabajar en inyección a ciegas y visible. Funciona ejecutando operaciones SQL lógicas para determinar el nivel de exposición de la aplicación vulnerable.
Descargar SQLibf


3.SQLBrute

SQLBrute es una herramienta para extraer datos de las bases mediante ataques de fuerza bruta usando vulnerabilidades de inyección SQL a ciegas. Soporta exploits basados en tiempo y error en un servidor Microsoft SQL, y exploits basados en errores para Oracle. SQLBrute está escrito en Python, utiliza multi-proceso y no requiere librerías no-estándar.
Descargar SQLBrute


4.BobCat

BobCat es una herramienta que permite ayudar a un auditor a tomar completa ventaja de las vulnerabilidades de inyección SQL. Está basado en AppSecInc. Puede listar los servidores enlazados, esquemas (schema) de bases de datos y permite obtener datos de  cualquier tabla a la cual la aplicación tenga acceso.
Descargar BobCat


5.SQLMap

Es quizá la herramienta más completa, y mi favorita, escrita en python y con una gran variedad de opciones, además de tener integración con herramientas como metasploit permite explotar al máximo un vulnerabilidad SQL Injection.
Descargar SQLMap


6.Absinthe

Absinthe es una herramienta basada en interfaz gráfica que automatiza el proceso de descargar el esquema y los contenidos de una base de datos que es vulnerable a SQL Injection.
Descargar Absinthe


7.SQLID

SQL Injection digger (SQLID) es un programa que funciona mediante línea de comandos que busca inyecciones SQL y errores comunes en sitios web.
Descargar SQID


8.SQL Power Injection Injector

SQL Power Injection ayuda a un auditor a inyectar comandos SQL en una página web. Su fuerza principal radica en la capacidad de automatizar inyecciones SQL tediosas utilizando para ellos múltiples procesos.
Descargar SQL Power Injection


9.FJ-Injector Framework

FJ-Injector es un framework opensource diseñado para ayudar a encontrar vulnerabilidades SQL en aplicaciones web. Incluye características de Proxy para interceptar y modificar solicitudes HTTP y una interfaz para realizar explotación SQL automática.
Descargar FJ-Injector Framework


10.SQLNinja

SQLNinja es una herramienta para explotar vulnerabilidades de inyección SQL en aplicaciones web que utilizan Microsoft SQL Server como motor de base de datos.
Descargar SQLNinja



No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)