Herramientas para automatización de inyección SQL.

Ya he escrito de la inyección SQL en otros post, en este post tratare de las cuatro herramientas de automatización de inyección SQL, que yo destacaría. Que son las siguientes:

SQL Power Injection Injector: Su principal baza es la capacidad de automatizar inyecciones SQL pesadas utilizando para ello múltiples procesos.

Principales características:

  • Disponible para las plataformas: Windows, Unix y Linux.
  • Soporta SSL.
  • Realiza la técnica de inyección ciega de SQL. Comparando las respuestas verdaderas y falsas de las páginas o de los resultados de las cookies y los retrardos de tiempo.
  • Soporta los motores de bases de datos: Microsoft SQL Server, Oracle, MySQL, Sybase/Adaptive y DB2.

Más información y descarga de SQL Power Injection Injector:
http://www.sqlpowerinjector.com/
Tutorial de SQL Power Injection Injector:
http://www.sqlpowerinjector.com/docs/TutorialSPInjv1.1.pdf

SQLMap: Es una aplicación de automatización de inyección ciega de SQL, desarrollada en Python. Es capaz de generar una huella digital activa del sistema de administración de bases de datos.

Principales características:

  • Al estar escrita en Python es multiplataforma.
  • El apoyo total para MySQL, Oracle, PostgreSQL y el servidor de Microsoft SQL.
  • Puede identificar también Microsoft Access, DB2, Informix, Sybase e Interbase.

Más información y descargar SQLMap :
http://sqlmap.sourceforge.net/
Manuales de SQLMap :
http://sqlmap.sourceforge.net/#docs

SQLNinja: Es una herramienta para explotar vulnerabilidades de inyección SQL en aplicaciones web que utilizan Microsoft SQL Server como su motor de base de datos.

Principales características:

  • Realiza Fingerprint de servidores SQL.
  • Realiza ataques de fuerza a bruta a la cuenta del “sa”.
  • Utiliza técnicas de evasión de IDS/IPS/WAF.
  • Escanea puertos TCP/UDP del servidor SQL que ataca, para encontrar los puertos permitidos por el cortafuegos de la red y utilizarlos para emplear un reverse Shell.

Más información y descargar de SQLNinja:
http://sqlninja.sourceforge.net/
Manuales de SQLNinja:
http://sqlninja.sourceforge.net/sqlninja-howto.html

WITOOL: Una sencilla herramienta de inyección SQL que solo está disponible para plataformas Windows. Esta herramienta solo soporta Ms SQL y Oracle, pero es útil para una primera toma de contacto debido a su sencillez.

Más información y descarga de WITOOL:
http://witool.sourceforge.net

Evitar “SQL injection” con cortafuegos para base de datos.
http://vtroger.blogspot.com/2008/10/evitar-sql-injection-con-cortafuegos.html

4 comentarios en “Herramientas para automatización de inyección SQL.

  • el febrero 12, 2009 a las 5:44 pm
    Permalink

    La seguridad informática es un tema de fundamental importancia mundial debido al crecimiento de la importancia de los IT a nivel mundial. Vos podés ser parte de ese mundo, también.
    Inscribite en http://www.becascontrolf.com.ar y aplicá para recibir una beca para estudiar programación gratis.

    Respuesta
  • el junio 8, 2009 a las 5:19 am
    Permalink

    Definitivamente me quedo con sqlmap. Si de por si me gusta python, me gustan las herramientas flexibles para escanear vulnerabilidades como nikto. Espero esta herramienta pueda avanzar mucho en esta dirección. Gracias por el post, uno siempre aprende de nuevas herramientas.

    Respuesta

Deja un comentario

A %d blogueros les gusta esto: