Hac
CREATIVE STUDIO
...
ker
10 Aplicaciones OpenSource para Blind SQL Injection automatizado
Hace un tiempo que no actualizaba el blog, la última vez dige que publicaría lo facil que resulta tomar el control absoluto de un maquina windows xp mal configurada, pero en vez de eso, he hecho una lista con 10 software para la automatización de los ataques Blind SQL Injection, esto lo he hecho, por que estoy harto de que me pregunten que como pueden hackear una página web con eso del Blind SQL Injection, que como se utiliza, etc. Os recuerdo que el Blind SQL Injection NO sirve para todas las páginas, solo sirve contra páginas mal configuradas vulnerables a este tipo de páginas.
Antes de nada, recuerdo que esta información es solo para uso de pentesting, pruebas de penetración y en ningún caso me hago responsable del mal uso que se le pueda dar a esta información.
La inyección SQL es quizá la técnica más común de hacking a aplicaciones Web la cual tiene como objetivo ejecutar comandos SQL directamente a la base de datos en el back-end utilizando la misma aplicación.
La vulnerabilidad se presenta cuando alguna entrada de usuario no valida correctamente los parámetros que se le entregan y por ende son ejecutados.
Buscar vulnerabilidades de tipo SQL Injection implica tener que auditar sus aplicaciones Web y la mejor forma de hacerlo es utilizando para ello Scanners automatizados.
Aquí una lista de 10 herramientas gratuitas y de código abierto para automatizar este proceso:
1.SQLIer
SQLIer toma una URL vulnerable e intenta obtener toda la información necesaria para explotar la vulnerabilidad de inyección SQL por si mismo, no requiere ninguna intervención del usuario.
2.SQL Injection Brute-forcer
SQLibf puede trabajar en inyección a ciegas y visible. Funciona ejecutando operaciones SQL lógicas para determinar el nivel de exposición de la aplicación vulnerable.
3.SQLBrute
SQLBrute es una herramienta para extraer datos de las bases mediante ataques de fuerza bruta usando vulnerabilidades de inyección SQL a ciegas. Soporta exploits basados en tiempo y error en un servidor Microsoft SQL, y exploits basados en errores para Oracle. SQLBrute está escrito en Python, utiliza multi-proceso y no requiere librerías no-estándar.
4.BobCat
BobCat es una herramienta que permite ayudar a un auditor a tomar completa ventaja de las vulnerabilidades de inyección SQL. Está basado en AppSecInc. Puede listar los servidores enlazados, esquemas (schema) de bases de datos y permite obtener datos de cualquier tabla a la cual la aplicación tenga acceso.
5.SQLMap
Es quizá la herramienta más completa, y mi favorita, escrita en python y con una gran variedad de opciones, además de tener integración con herramientas como metasploit permite explotar al máximo un vulnerabilidad SQL Injection.
6.Absinthe
Absinthe es una herramienta basada en interfaz gráfica que automatiza el proceso de descargar el esquema y los contenidos de una base de datos que es vulnerable a SQL Injection.
7.SQLID
SQL Injection digger (SQLID) es un programa que funciona mediante línea de comandos que busca inyecciones SQL y errores comunes en sitios web.
8.SQL Power Injection Injector
SQL Power Injection ayuda a un auditor a inyectar comandos SQL en una página web. Su fuerza principal radica en la capacidad de automatizar inyecciones SQL tediosas utilizando para ellos múltiples procesos.
9.FJ-Injector Framework
FJ-Injector es un framework opensource diseñado para ayudar a encontrar vulnerabilidades SQL en aplicaciones web. Incluye características de Proxy para interceptar y modificar solicitudes HTTP y una interfaz para realizar explotación SQL automática.
10.SQLNinja
SQLNinja es una herramienta para explotar vulnerabilidades de inyección SQL en aplicaciones web que utilizan Microsoft SQL Server como motor de base de datos.
Espero que les haya sido de ayuda.
Correo electrónico de consulta:
