¿Qué herramientas automatizadas hay?¿Cómo puedo probar mi sitio web para detectar ataques de inyección de SQL?
Respuesta
sqlmap: una inyección de SQL herramienta de
sqlmap es una inyección de SQL automática herramienta desarrollada en Python. Su objetivo es para detectar y aprovechar las vulnerabilidades de inyección SQL en las aplicaciones web . Una vez que se detecta una o más inyecciones SQL en el host de destino , el usuario puede elegir entre una variedad de opciones para llevar a cabo una gestión de base de datos de huellas dactilares sistema extensa de servicios de fondo, recuperar DBMS usuario de la sesión y la base de datos, enumerar usuarios , hash de contraseñas, privilegios, bases de datos , volcar todo o las tablas/columnas DBMS específicas del usuario , ejecutar su propia declaración SQL SELECT , leer archivos específicos en el sistema de archivos y mucho más.
Aquí hay uno, no tienen vínculos ya que no hay una buena razón para sospechar que contiene el malware ...
http://www.darknet.org.uk/2008/09/bsql-hacker-automated-sql-injection-framework/
También puede encontrar una aplicación script kiddy y apuntar a su sitio, les gusta usar inyección SQL.
Pero en lugar de hacer todo eso, ¿no es más simple y fácil usar una biblioteca que impide la inyección de SQL?
Me parece muy bueno comprobarlo de todos modos, incluso si la biblioteca dice que para evitarlos. ¿Cómo sabes que no hay ningún error (o puerta trasera) en la biblioteca, además de una revisión y prueba exhaustiva del código? –
@Vinko: porque una biblioteca adecuada simplemente llamará a la función de escape de la capa de la base de datos (mysql_real_escape_string) en todas las entradas. Tales funciones son ampliamente examinadas por seguridad. –
¿Y cómo sabe que una biblioteca es "adecuada" sin verificarla primero? Un cierto grado de paranoia es saludable. –
Una herramienta comercial automatizada es Scan Alert de McAfee. Arañan tu sitio a diario e informan sobre cualquier vulnerabilidad, no solo la inyección de SQL, sino también cosas como puertos que no deberían ser versiones abiertas o inseguras del software que se ejecuta en el servidor.
Suena como un enlace inactivo (redirige a la página de inicio). – kenorb
¿Qué le parece simplemente evitar el uso de técnicas que permiten ataques de inyección SQL en primer lugar?
Si usa sentencias preparadas en lugar de SQL dinámico, está satisfecho: los ataques de inyección de SQL se vuelven imposibles y obtiene un mejor rendimiento para arrancar. ¡Nunca use una cadena proporcionada por el usuario en SQL dinámico! Esta es la única manera de ser cierto que su DB está a salvo de ataques de inyección. Incluso las herramientas automatizadas tienen puntos ciegos - son creados por los seres humanos después de todo ...
recurso útil: Oracle Tutorial on Defending against SQL Injection Attacks
findbugs La herramienta tiene una cierta ayuda para detectar posibles ataques de inyección SQL en código Java, utilizando el análisis estático. Básicamente, buscará casos en los que los parámetros de entrada se usen para construir consultas SQL en lugar de usarse como parámetros de declaraciones preparados.
Realmente no he utilizado el plug-in de su Firefox, pero uno de ellos está destinado a encontrar problemas de inyección SQL.
https://addons.mozilla.org/en-US/firefox/addon/7597/ es el enlace para el complemento de Firefox. En mi humilde opinión, es la herramienta más fácil que he encontrado para probar las inyecciones de SQL. – Axeva
WebCruiser - ¡El escáner de vulnerabilidades web no es solo una herramienta de escaneo de seguridad web, sino también una herramienta de inyección SQL automática, una herramienta de inyección XPath y una herramienta cross-site scripting!
Tenemos algo más que BSQL :) Compruebe a cabo aquí -
- 1. ¿Cómo puedo probar automáticamente mi sitio para detectar ataques de inyección de SQL, usando un script o un programa?
- 2. ¿Cómo verifica su URL para los ataques de inyección SQL?
- 3. cómo puedo probar mi sitio web con ie6
- 4. ¿Hay alguna herramienta de inyección SQL para que pueda probar la vulnerabilidad de mi sitio?
- 5. ¿Cómo puedo evitar los ataques de inyección SQL en mi aplicación ASP.NET?
- 6. cómo proteger mi sitio web
- 7. ¿Son posibles los ataques de inyección SQL en JPA?
- 8. ¿Cómo puedo probar mi sitio en iPad sin tener uno?
- 9. ¿ExecuteCommand de LINQ proporciona protección contra ataques de inyección SQL?
- 10. SQL Server: Desinfección @param contra ataques de inyección
- 11. Cómo proteger un sitio web de ataques DoS
- 12. ¿Cómo puedo probar mi sitio web en una versión anterior de Safari en OS X?
- 13. ¿Las declaraciones preparadas evitarán los ataques de inyección sql?
- 14. ¿Spring JDBC brinda protección contra ataques de inyección SQL?
- 15. Inyección de Catching SQL y otras solicitudes web maliciosas
- 16. Exploración de inyección de script de sitio web
- 17. ¿Cómo puedo probar mi unidad Json en un sitio web ASP.NET MVC3?
- 18. Sanitize nombre de tabla/columna en SQL dinámico en .NET? (Impedir ataques de inyección SQL)
- 19. Cómo prevenir los ataques de inyección de JavaScript
- 20. Inyección de ASP SQL clásica
- 21. Lectores de pantalla para probar Accesibilidad del sitio web
- 22. ¿Cómo probar/simular conexiones simultáneas para un sitio web?
- 23. ¿Puedo evitar todos los ataques de inyección SQL mediante el uso de parámetros?
- 24. Prevención de ataque de inyección SQL: dónde empiezo
- 25. Ataque de sitio web ASP.NET: ¿cómo responder?
- 26. ¿Puedo probar/detectar una advertencia?
- 27. cómo evitar la inyección de SQL en un sitio web asp.net
- 28. ¿Cómo puedo detectar clientes móviles en mi servidor web?
- 29. ¿Cómo puedo insertar un sitio web en mi aplicación?
- 30. SQL Server para probar en la web
sqlmap es una herramienta de explotación, no se puede escanear una página web para posibles vulnerabilidades de inyección SQL. –