Ir al contenido principal

SQL Injection

SQL INJECTION


El mundo de la informática vemos que cada día avanza y avanza, pero hay que echarle un ojo a la seguridad de la información.

A menudo las empresas utilizan páginas webs donde hay información para todo el público pero también sección privada protegida por usuario y contraseña para los administradores de las páginas. Dependiendo de la programación estas páginas pueden poner en riesgo información clasificada como confidencial y aun otras informaciones alojadas en el mismo motor de base de datos donde consulta la página web. Esto es posible ya que existe la Inyección SQL que consiste en inyectar código o consulta SQL en una página ya sea desde el mimo browser o usando algún tipo de herramienta que permita hacerlo.

El origen de la vulnerabilidad radica en el incorrecto chequeo o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro. Se conoce como Inyección SQL, indistintamente:
·         al tipo de vulnerabilidad,
·         al método de infiltración,
·         al hecho de incrustar código SQL intruso, y
·         a la porción de código incrustado.


Las herramientas que están disponibles para hacer pruebas de vulnerabilidades de SQL Ijection son las siguientes:
SQLIer - SQLIer toma una URL vulnerable e intenta obtener toda la información necesaria para explotar la vulnerabilidad de inyección SQL por si mismo, no requiriendo ninguna intervención del usuario. Descargar SQLIer.

SQLbftools - SQLbftools consta de una colección de herramientas para obtener información de... MySQL disponible utilizando un ataque de inyección SQL ciega (blind SQL Injection). Descargar SQLbftools.

SQL Injection Brute-forcer - SQLibf es una herramienta para automatizar el proceso de detectar y explotar vulnerabilidades de inyección SQL. SQLibf puede trabajar en inyección ciega y visible. Funciona ejecutando operaciones SQL lógicas para determinar el nivel de exposición de la aplicación vulnerable. Descargar SQLLibfv.

SQLBrute - SQLBrute es una herramienta para extraer datos de las bases de dato mediante ataques de fuerza bruta usando vulnerabilidades de inyección SQL ciega. Soporta exploits basados en tiempo y en error en un servidor Microsoft SQL., y exploits basados en errores para Oracle. SQLBrute está escrito en Python, utiliza multi-proceso y no requiere librerías no-estándar. Descargar SQLBrute.

BobCat - BobCat es una herramienta que permite ayudar a un auditor a tomar completa ventaja de las vulnerabilidades de inyección SQL. Está basado en AppSecInc. Puede listar los servidores enlazados, esquemas (schema) de bases de datos y permite obtener datos de cualquier tabla a la cual la aplicación tenga acceso. Descargar BobCat.

SQLMap - SQLMap es una herramienta de inyección SQL ciega automática, desarrollada en Python, es capaz de generar una huella digital activa del sistema de administración de bases de datos y mucho más. Descargar SQLMap.

Absinthe - Absinthe es una herramienta basada en interfaz gráfica que automatiza el proceso de descargar el esquema y los contenidos de una base de datos que es vulnerabile a inyección SQL ciega. Descargar Absinthe.
SQL Injection Pen-testing Tool - SQL Injection Tool es una utilidad basada en interfaz gráfica diseñada para examinar bases de datos através de vulnerabilidades en las aplicaciones Web.Descargar SQL Injection Pen-testing tool.

SQLID - SQL Injection digger (SQLID) es un programa de línea de comandos que busca inyección SQL y errores comunes en sitios web. Descargar SQID.

Blind SQL Injection Perl Tool - bsqlbf es un script hecho en Perl que permite a un auditor obtener información de sitios webs que son vulnerables a inyección SQL. Descargar Blind SQL Injection Perl Tool.
SQL Power Injection Injector - SQL Power Injection ayuda a un auditor a inyectar comandos SQL en una página web. Su fuerza principal radica en la capacidad de automatizar inyecciones SQL tediosas utilizando para ellos múltiples procesos. Descargar SQL Power Injection.

FJ-Injector Framework - FJ-Injector es un framework opensource diseñado para ayudar a encontrar vulnerabilidades SQL en aplicacion web. Incluye características de Proxy para interceptar y modificar solicitudes HTTP y una interfaz para realizar explotación SQL automática. Descargar FJ-Injector Framework.

SQLNinja - SQLNinja es una herramienta para explotar vulnerabilidades de inyección SQL en aplicaciones web que utilizan Microsoft SQL Server como su motor de base de datos. Descargar SQLNinja.

Automagic SQL Injector - Automagic SQL Injector es una herramienta de inyección SQL automatizada que fue diseñada para ahorrar tiempo en los tests de intrusión y solamente funciona con agujeros de Microsoft SQL que devuelven errores. DescargarAutomagic SQL Injector.

NGSS SQL Injector - NGSS SQL Injector explota vulnerabilidades de inyección SQL en distintos servidores para obtener acceso a la data almacenada. Actualmente soporta las siguientes bases de datos: Access, DB2, Informix, MSSQL, MySQL, Oracle, Sysbase. Descargar NGSS SQL Injector

Como hackers éticos que somos no podemos usar estas herramientas sin consentimiento del atacado, en caso de quieras practicar Inyección SQL hay sistemas ya pre-configurados con las vulnerabilidades necesarias para hacer las practicas los cuales son:


·         DVWA 

Esta fue una entrega más de Hacking Ético…



Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

Bases de datos relacionales VS No relacionales

Bases de datos relacionales y no relacionales Un buen diseño de la base de datos es un factor de alta influencia con respecto a la calidad de los proyectos, de ahí surgen las interrogantes de que tipo de base de datos utilizar, relacionales o no relacionales o lo que es lo mismo SQL o NoSQL. Determinar esto siempre va a depender del tipo de proyecto que se quiera ejecutar, en esta ocasión nos vamos a concentrar en ver las ventajas de estos dos tipos de bases de datos, así como también sus diferencias. Las bases de datos relacionales ya llevan un buen tiempo más o menos desde los años 80, lo que las hace las mas utilizadas frente a las no relacionales o que recién están tomando auge. A continuación, presentamos algunas de las ventajas: Bases de datos SQL Ventajas Las bases de datos relacionales cuentan con sus ventajas y esto hace notorio su gran uso, podemos destacar su madurez ya que existe una gran cantidad de información disponibles, comunidades dedicadas al s...
Publicar un comentario
Leer más

Crear una unidad lógica desde una carpeta

Mapear un unidad virtual de una carpeta especifica Hace unos días inicie la instalación de un nuevo servidor de backups en la organización donde trabajo, durante la implementacion surge la necesidad de virtualizar o desde una carpeta especifica crear una unidad virtual para poder manejar los archivos respaldados o para programar backups directos a esa unidad y no a una ruta muy larga, así que luego de estar buscando por largo tiempo encotre con el comando subst. Veamos como funciona: En este caso tenemos una ruta muy larga para almacenar los backups de los archivos de los usuarios:  D:\Backups\BCK_Sharedfolders\Public\Usuarios\Documentos\Backups\Texto\Cartas  Para crear la unidad lógica vamos al menu files y damos click en la opción Open command prompt( Tambien podemos usar la opción Open windows powershell): Esto nos abrirá el prompt desde esa ruta. A continuación escribimos e...
Publicar un comentario
Leer más