Bueno para explicar básicamente que es una inyección SQL, podríamos decir que esta se produce cuando se inyecta un code sql invasor dentro de otro sql tratando de alterar el funcionamiento normal y así ejecutar maliciosamente el code invasor dentro de la bd. creo q tb esta mas explicada en un thead por brite sino me equivoco.aca les dejo unas herramientas para automatizar inyecciones SQL.
SQL Power Injection : Esta herramienta puede automatizar inyecciones pesadas usando varios procesos.
* Se puede usar en Linux, Unix y Win * Soporta SSL * Realiza la técnica de inyección ciega de SQL. Comparando las respuestas verdaderas y falsas de las páginas o de los resultados de las cookies y los retrardos de tiempo. * Soporta los motores de bases de datos: Microsoft SQL Server, Oracle, MySQL, Sybase/Adaptive y DB2.
SQLMap : Esta hace inyeccion ciega , esta escrita en python.
* Es multiplataforma. * El apoyo total para MySQL, Oracle, PostgreSQL y el servidor de Microsoft SQL. * Puede identificar también Microsoft Access, DB2, Informix, Sybase e Interbase.
SQLNinja : Explora vuln. de inyecciones SQL en aplicaciones WEB que usan Microsoft SQL Server como bd.
* Realiza Fingerprint de servidores SQL. * Realiza ataques de fuerza a bruta a la cuenta del “sa”. * Utiliza técnicas de evasión de IDS/IPS/WAF. * Escanea puertos TCP/UDP del servidor SQL que ataca, para encontrar los puertos permitidos por el cortafuegos de la red y utilizarlos para emplear un reverse Shell.
0 comentarios:
Publicar un comentario