Herramientas para técnicas automatizadas de “SQL injection”.

“SQL injection” es una técnica de inyección de código intruso que se vale de una vulnerabilidad informática en una aplicación a nivel de validación de entradas para realizar operaciones sobre una base de datos. La vulnerabilidad existe cuando se realiza un incorrecto chequeo o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Se conoce como “SQL injection”, indistintamente del tipo de vulnerabilidad y del método de inyección, al hecho de inyectar código SQL intruso y a la porción de código inyectado.

En este post tratare de las herramientas de automatización de inyección SQL, que yo destacaría. Que son las siguientes:

SQL Power Injection Injector.

Su principal baza es la capacidad de automatizar inyecciones SQL pesadas utilizando para ello múltiples procesos.

Principales características:

Disponible para las plataformas: Windows, Unix y Linux.
Soporta SSL.
Realiza la técnica de inyección ciega de SQL. Comparando las respuestas verdaderas y falsas de las páginas o de los resultados de las cookies y los retrardos de tiempo.
Soporta los motores de bases de datos: Microsoft SQL Server, Oracle, MySQL, Sybase/Adaptive y DB2.

Más información y descarga de SQL Power Injection Injector:
https://www.sqlpowerinjector.com/

Tutorial de SQL Power Injection Injector:
https://www.sqlpowerinjector.com/docs/TutorialSPInjv1.1.pdf

SQLMap.

Es una aplicación de automatización de inyección ciega de SQL, desarrollada en Python. Es capaz de generar una huella digital activa del sistema de administración de bases de datos.

Principales características:

Al estar escrita en Python es multiplataforma.
El apoyo total para MySQL, Oracle, PostgreSQL y el servidor de Microsoft SQL.
Puede identificar también Microsoft Access, DB2, Informix, Sybase e Interbase.

Más información y descargar SQLMap :
https://sqlmap.org/

Documentación modo de empleo SQLMap:
https://github.com/sqlmapproject/sqlmap/wiki

SQLNinja.

Es una herramienta para explotar vulnerabilidades de inyección SQL en aplicaciones web que utilizan Microsoft SQL Server como su motor de base de datos.

Principales características:

Realiza Fingerprint de servidores SQL.
Realiza ataques de fuerza a bruta a la cuenta del “sa”.
Utiliza técnicas de evasión de IDS/IPS/WAF.
Escanea puertos TCP/UDP del servidor SQL que ataca, para encontrar los puertos permitidos por el cortafuegos de la red y utilizarlos para emplear un reverse Shell.

Más información y descargar de SQLNinja:
https://sqlninja.sourceforge.net/

Manuales de SQLNinja:
https://sqlninja.sourceforge.net/sqlninja-howto.html

WITOOL.

Una sencilla herramienta de inyección SQL que solo está disponible para plataformas Windows. Esta herramienta solo soporta Ms SQL y Oracle, pero es útil para una primera toma de contacto debido a su sencillez.

Más información y descarga de WITOOL:
https://witool.sourceforge.net

The Mole.

Es una herramienta para la explotación automatizada de inyección SQL en páginas Web. Solo necesita una URL vulnerable y una cadena válida en el sitio y puede detectar la vulnerabilidad y explotarla, ya sea mediante el uso de la técnica de unión o una consulta basada entécnicas booleanas.

The Mole utiliza una interfaz basada en comandos, lo que permite al usuario indicar la acción que quiere realizar fácilmente. Con esta herramienta podemos auditar si un sitio web es vulnerable a un ataque de inyección SQL, de una forma rápida y totalmente automatizada.

Características principales de The Mole:

Soporte para MySQL, Postgres, SQL Server y Oracle.
Interfaz de línea de comandos.
Autocompletado para: comandos, argumentos de comandos y tablas y nombres de columnas en bases de datos.
Desarrollado en Python 3.
Explotación de inyección SQL automático utilizando la técnica de unión y técnicas booleanas.
Explotación de inyección SQL ciega automática.
Explota inyecciones SQL en: GET, parámetros de POST y COOKIES.
Soporte para filtros, con el fin de eludir ciertas reglas IPS / IDS utilizando filtros genéricos, y la posibilidad de crear otros nuevos con facilidad.
Explota inyecciones SQL que devuelven datos binarios.
Intérprete de comandos de gran alcance para simplificar su uso.

Source:https://www.gurudelainformatica.es/

Raúl Martínez

Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.

Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.

También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad

Herramientas para técnicas automatizadas de “SQL injection”.

Las 11 reglas esenciales de seguridad en la nube de Falco para proteger aplicaciones en contenedores sin costo

Cómo comprobar si una distro de Linux está comprometida por la puerta trasera XZ Utils en 6 pasos

La estrategia de gestión continua de exposición a amenazas CTEM paso a paso para AWS y AZURE

Malware PLC basado en web: una nueva técnica para hackear sistemas de control industrial

Seguridad API: 10 estrategias para mantener seguras las integraciones de API

Cómo robar la contraseña de Windows a través del correo de Outlook

11 formas de hackear ChatGpt y sistemas de IA generativa

CANAL DE NOTICIAS DE CIBERSEGURIDAD