Ir al contenido principal

SQL Injection

SQL INJECTION


El mundo de la informática vemos que cada día avanza y avanza, pero hay que echarle un ojo a la seguridad de la información.

A menudo las empresas utilizan páginas webs donde hay información para todo el público pero también sección privada protegida por usuario y contraseña para los administradores de las páginas. Dependiendo de la programación estas páginas pueden poner en riesgo información clasificada como confidencial y aun otras informaciones alojadas en el mismo motor de base de datos donde consulta la página web. Esto es posible ya que existe la Inyección SQL que consiste en inyectar código o consulta SQL en una página ya sea desde el mimo browser o usando algún tipo de herramienta que permita hacerlo.

El origen de la vulnerabilidad radica en el incorrecto chequeo o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro. Se conoce como Inyección SQL, indistintamente:
·         al tipo de vulnerabilidad,
·         al método de infiltración,
·         al hecho de incrustar código SQL intruso, y
·         a la porción de código incrustado.


Las herramientas que están disponibles para hacer pruebas de vulnerabilidades de SQL Ijection son las siguientes:
SQLIer - SQLIer toma una URL vulnerable e intenta obtener toda la información necesaria para explotar la vulnerabilidad de inyección SQL por si mismo, no requiriendo ninguna intervención del usuario. Descargar SQLIer.

SQLbftools - SQLbftools consta de una colección de herramientas para obtener información de... MySQL disponible utilizando un ataque de inyección SQL ciega (blind SQL Injection). Descargar SQLbftools.

SQL Injection Brute-forcer - SQLibf es una herramienta para automatizar el proceso de detectar y explotar vulnerabilidades de inyección SQL. SQLibf puede trabajar en inyección ciega y visible. Funciona ejecutando operaciones SQL lógicas para determinar el nivel de exposición de la aplicación vulnerable. Descargar SQLLibfv.

SQLBrute - SQLBrute es una herramienta para extraer datos de las bases de dato mediante ataques de fuerza bruta usando vulnerabilidades de inyección SQL ciega. Soporta exploits basados en tiempo y en error en un servidor Microsoft SQL., y exploits basados en errores para Oracle. SQLBrute está escrito en Python, utiliza multi-proceso y no requiere librerías no-estándar. Descargar SQLBrute.

BobCat - BobCat es una herramienta que permite ayudar a un auditor a tomar completa ventaja de las vulnerabilidades de inyección SQL. Está basado en AppSecInc. Puede listar los servidores enlazados, esquemas (schema) de bases de datos y permite obtener datos de cualquier tabla a la cual la aplicación tenga acceso. Descargar BobCat.

SQLMap - SQLMap es una herramienta de inyección SQL ciega automática, desarrollada en Python, es capaz de generar una huella digital activa del sistema de administración de bases de datos y mucho más. Descargar SQLMap.

Absinthe - Absinthe es una herramienta basada en interfaz gráfica que automatiza el proceso de descargar el esquema y los contenidos de una base de datos que es vulnerabile a inyección SQL ciega. Descargar Absinthe.
SQL Injection Pen-testing Tool - SQL Injection Tool es una utilidad basada en interfaz gráfica diseñada para examinar bases de datos através de vulnerabilidades en las aplicaciones Web.Descargar SQL Injection Pen-testing tool.

SQLID - SQL Injection digger (SQLID) es un programa de línea de comandos que busca inyección SQL y errores comunes en sitios web. Descargar SQID.

Blind SQL Injection Perl Tool - bsqlbf es un script hecho en Perl que permite a un auditor obtener información de sitios webs que son vulnerables a inyección SQL. Descargar Blind SQL Injection Perl Tool.
SQL Power Injection Injector - SQL Power Injection ayuda a un auditor a inyectar comandos SQL en una página web. Su fuerza principal radica en la capacidad de automatizar inyecciones SQL tediosas utilizando para ellos múltiples procesos. Descargar SQL Power Injection.

FJ-Injector Framework - FJ-Injector es un framework opensource diseñado para ayudar a encontrar vulnerabilidades SQL en aplicacion web. Incluye características de Proxy para interceptar y modificar solicitudes HTTP y una interfaz para realizar explotación SQL automática. Descargar FJ-Injector Framework.

SQLNinja - SQLNinja es una herramienta para explotar vulnerabilidades de inyección SQL en aplicaciones web que utilizan Microsoft SQL Server como su motor de base de datos. Descargar SQLNinja.

Automagic SQL Injector - Automagic SQL Injector es una herramienta de inyección SQL automatizada que fue diseñada para ahorrar tiempo en los tests de intrusión y solamente funciona con agujeros de Microsoft SQL que devuelven errores. DescargarAutomagic SQL Injector.

NGSS SQL Injector - NGSS SQL Injector explota vulnerabilidades de inyección SQL en distintos servidores para obtener acceso a la data almacenada. Actualmente soporta las siguientes bases de datos: Access, DB2, Informix, MSSQL, MySQL, Oracle, Sysbase. Descargar NGSS SQL Injector

Como hackers éticos que somos no podemos usar estas herramientas sin consentimiento del atacado, en caso de quieras practicar Inyección SQL hay sistemas ya pre-configurados con las vulnerabilidades necesarias para hacer las practicas los cuales son:


·         DVWA 

Esta fue una entrega más de Hacking Ético…



Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

Grupos y blogs de Hacking Etico

Continuación Etical Hacking Como ya les había comentado, inicie un curso de Hacking Ético en unas de las paginas que utilizan la modalidad MOOC, ya les había publicado lo aprendido en la primera tarea del curso(http://itinford.blogspot.com/p/ackingetico.html). En esta entrada les hablare de unas paginas de Hacking Ético que me parecen interesantes y voy a iniciar con http://www.batanga.com, en esta pagina encontré importante literatura acerca de como iniciarse en el mundo el hacking ético, aquí les dejo la liga completa http://www.batanga.com/tech/2007/04/09/hacking-etico-aprende-hackeando. Un hacker como tal debe tener conocimiento avanzado de por lo menos de tres sistemas operativos y saber programar en varios lenguajes de programación. La otra pagina de la que les quiero hablar es de http://hacking-etico.com: Esta pagina es muy completa ya que nos da tips de seguridad informática y en cuanto al hacking nos orienta sobre como testear las aplicacio...
Publicar un comentario
Leer más

Como levantar una maquina virtual partiendo de una imagen OVF en vMware 5.1

Levantar una maquina virtual de manera rapida y facil con una imagen OVF en vMware 5.1 En un post anterior Como crear un template OVF en vMware 5.1 ya les explique como crear una imagen OVF que no es mas que un template de una maquina virtual que se prepara con configuraciones generales, para partir de ahí al momento de levantar una nueva maquina virtual. Ahora veremos como utilizar ese template para crear o levantar nuevas maquinas virtuales y de esa manera disminuir el tiempo de respuesta ante solicitudes de nuevos servidores. Para ello utilizaremos una imagen OVF creada en el post anterior. Veamos: Abrimos el vSphere client, luego damos un click en nombre o la ip del Host das click en Files y seleccionas la opcion Deploy OVF Template. Luego seleccionamos la ubicacion deonde se encuentra el Template que creamos. Presionamos en en boto Next, para seguir al siguiente paso. El asistente nos da un detalle de la imagen ovf que hemos selecci...
Publicar un comentario
Leer más