tutorial - ¿Cómo puedo probar mi sitio web para detectar ataques de inyección SQL?
sqlmap tutorial español (9)
¿Qué herramientas automatizadas hay?
¿Qué hay de simplemente evitar el uso de técnicas que permiten ataques de inyección SQL en primer lugar?
Si usa declaraciones preparadas en lugar de SQL dinámico, está satisfecho: los ataques de inyección de SQL se vuelven imposibles y obtendrá un mejor rendimiento para arrancar. ¡Nunca use una cadena proporcionada por el usuario en SQL dinámico! Esta es la única manera de estar seguro de que su base de datos está a salvo de los ataques de inyección. Incluso las herramientas automáticas tienen puntos ciegos, son creados por los humanos después de todo ...
Recurso útil: Oracle Tutorial sobre defensa contra ataques de inyección SQL
Aquí hay una, no vinculada, ya que hay buenas razones para sospechar que contiene malware ...
http://www.darknet.org.uk/2008/09/bsql-hacker-automated-sql-injection-framework/
También puede encontrar una aplicación script kiddy y apuntarla a su sitio, les gusta usar la inyección SQL.
Pero, en lugar de hacer todo eso, ¿no es más simple y fácil usar una biblioteca que evite la inyección de SQL?
Hay varios complementos para Firefox: HackBar , SQL Injection 1.2
La herramienta findbugs tiene cierto soporte para detectar posibles ataques de inyección SQL en el código Java, utilizando análisis estáticos. Básicamente, buscará casos en los que los parámetros de entrada se usen para construir consultas SQL en lugar de usarse como parámetros de declaraciones preparados.
Tenemos más que solo BSQL :) Échales un vistazo aquí -
Una herramienta comercial automatizada es Scan Alert de McAfee. Arañan tu sitio a diario e informan sobre cualquier vulnerabilidad, no solo la inyección de SQL, sino también cosas como puertos que no deberían ser versiones abiertas o inseguras del software que se ejecuta en el servidor.
WebCruiser : explorador de vulnerabilidades web, no solo es una herramienta de escaneo de seguridad web, sino también una herramienta de inyección SQL automática, una herramienta de inyección XPath y una herramienta de creación de scripts entre sitios .
Realmente no he usado su complemento de Firefox, pero uno de ellos está destinado a detectar problemas de inyección de SQL.
sqlmap: una herramienta de inyección de SQL
sqlmap es una herramienta de inyección SQL automática desarrollada en Python. Su objetivo es detectar y aprovechar las vulnerabilidades de inyección SQL en aplicaciones web. Una vez que detecta una o más inyecciones SQL en el host, el usuario puede elegir entre una variedad de opciones para realizar una amplia huella dactilar del sistema de administración de base de datos, recuperar el usuario de sesión DBMS y la base de datos, enumerar usuarios, contraseñas, privilegios, bases de datos , volcar tablas / columnas DBMS específicas o del usuario completo, ejecutar su propia instrucción SQL SELECT, leer archivos específicos en el sistema de archivos y mucho más.